我刚刚收到了来自我的 Django 项目的渗透测试者的漏洞报告。报告说我的 Django 应用程序容易受到BREACH ATTACK 的攻击。SSL 处于活动状态,cookie 被标记为安全,会话 cookie 被设置为安全。系统管理员关闭的 HTTP 压缩由我无权访问的 Nginx 控制。所以 gzip 是关闭的。现在我想为 django 管理员的每个客户端请求随机化 csrf 令牌,尤其是登录页面。有没有办法在 settings.py 中以简单的方式做到这一点,还是我必须编写自定义管理视图?这个问题的最佳实践是什么?