1. 首頁
  2. 問答
  3. Django管理形式可以跨站請求僞造(CSRF)

Django管理形式可以跨站請求僞造(CSRF)

2016-01-17 76 views
2

在我的Django管理站點,我運行漏洞測試進行操作,並顯示以下威脅:Django管理形式可以跨站請求僞造(CSRF)

An effective CSRF (Cross-Site Request Forgery) countermeasure for forms is to 
include a hidden field with a random value specific to the user's current session. 
A form was detected that did not appear to contain an anti-CSRF token. 
This form was tested for susceptibility to a CSRF attack and determined to be vulnerable.

我在管理頁面查詢; CSRF已經確定。

來源

2016-01-17 Muhammad Naeem Paracha

+0

你正在運行的測試和django的版本是什麼? –

+0

QUALYS Web應用程序漏洞掃描,Django版本是1.8.2 –

+0

您需要提供更多詳細信息,因爲觸發錯誤的URL是什麼。不要在這裏發佈,而要發送一封包含所有詳細信息的電子郵件到'security @ djangoproject.com' –

回答

0

自動工具通常會給Django的CSRF保護帶來誤報。 Django安全團隊得到了許多這樣的無效報告。

來源

2016-02-13 00:36:57

相關問題

 相關問題