我正在构建一个服务器 api,它将以移动设备和 javascript 作为前端。所有的 post 请求都包含 json 编码的数据。现在我不确定我是否应该保护视图 csrf。即使我这样做了,也会在登录时将 csrf 令牌提供给移动设备应用程序,以便它始终可以使用它,或者每次都需要生成和提供 csrf 令牌?
如果您认为我不应该保护这些观点,那么我想知道它是否足够安全?
我正在构建一个服务器 api,它将以移动设备和 javascript 作为前端。所有的 post 请求都包含 json 编码的数据。现在我不确定我是否应该保护视图 csrf。即使我这样做了,也会在登录时将 csrf 令牌提供给移动设备应用程序,以便它始终可以使用它,或者每次都需要生成和提供 csrf 令牌?
如果您认为我不应该保护这些观点,那么我想知道它是否足够安全?
这是一个很好的解释 - https://docs.djangoproject.com/en/dev/ref/contrib/csrf/
您需要在任何更改数据的请求上使用 CSRF 令牌。简单的非可变 GET 不需要一个。