我从Django的contrib CSRF中间件中得到了大量的误报。只是从网站的正常使用情况来看,很多情况下CSRF才会开始阻止请求伪造攻击。
还有其他人有这样的问题吗?我正在使用Django的SVN分支,因此拥有最新版本的CSRF中间件。我怎么能诊断这些问题?
更新:我在我的制作和开发网站上看到了这些误报。他们偶尔发生。我的站点使用子域,并且站点的不同开发/生产版本在不同的服务器上运行,但由子域分隔。触发CSRF攻击警告的原因是什么?是否将dev cookie发送到生产站点?在同一登录用户的子域之间移动会导致问题吗?
答案 0 :(得分:3)
Django中的CSRF保护基于隐藏字段加上正常工作会话。如果您使用子域来区分这两个网站,请检查您的settings.SESSION_COOKIE_DOMAIN是否为set properly to handle your case。