3

我从 Django 的 contrib CSRF 中间件中得到了大量的误报。仅仅从网站的正常使用来看,在很多情况下,CSRF 刚刚开始将请求作为可疑的伪造攻击来阻止。

还有其他人有这样的问题吗?我正在使用 Django 的 SVN 分支,因此拥有最新版本的 CSRF 中间件。我如何诊断这些问题?

更新:我在我的生产和开发网站上看到了这些误报。它们偶尔发生。我的站点使用子域,并且站点的不同开发/生产版本在不同的服务器上运行,但由子域分隔。什么会触发 CSRF 攻击警告?是在将开发 cookie 发送到生产站点时吗?在同一登录用户的子域之间移动会导致问题吗?

4

1 回答 1

3

Django 中的 CSRF 保护基于隐藏字段正常工作的会话。如果您使用子域来区分这两个站点,请检查您settings.SESSION_COOKIE_DOMAIN设置是否正确以处理您的情况

于 2009-09-24T07:07:20.643 回答