1
我在django中設置了一個網站並添加了csrf中間件。我可以經常從網站上看到CSRF故障。目前,當CSRF故障發生時,我顯示一個500錯誤頁面。當CSRF FAILURE發生時,建議呈現頁面的GET部分?
但是,我正在考慮在發生CSRF故障時,將相同的URL作爲GET請求加載,並要求用戶重新提交表單。這種方法是可取的嗎?由此會產生什麼樣的安全問題?任何想法都會有所幫助。
我在django中設置了一個網站並添加了csrf中間件。我可以經常從網站上看到CSRF故障。目前,當CSRF故障發生時,我顯示一個500錯誤頁面。當CSRF FAILURE發生時,建議呈現頁面的GET部分?
但是,我正在考慮在發生CSRF故障時,將相同的URL作爲GET請求加載,並要求用戶重新提交表單。這種方法是可取的嗎?由此會產生什麼樣的安全問題?任何想法都會有所幫助。
由於任何攻擊者由於Same Origin Policy而無法訪問響應,因此您可以返回任何您喜歡的內容,包括200 OK
以及幫助用戶的描述。
如果您希望可以包含500 INTERNAL SERVER ERROR
響應,但還可以包含一些HTML內容,以通知用戶應該重新提交表單。
CSRF失敗意味着某些事情沒有正確完成,在這種情況下,我看不出有任何理由去除500錯誤(通知有關錯誤)。 – petkostas
我的文章是否幫助回答你的問題?如果您需要更多信息,請告訴我。 – SilverlightFox