我正在构建一个服务器api,它将拥有移动设备和javascript作为前端。所有发布请求都包含json编码数据。现在我不确定我是否应该保护csrf的观点。即使我这样做,它会在登录时将csrf令牌提供给移动设备应用程序,以便它可以使用它总是足够的,或者每次都需要生成并给出csrf令牌?
如果你认为我不应该保护意见,而不是我想知道它是否足够安全?
答案 0 :(得分:0)
这是一个很好的解释 - https://docs.djangoproject.com/en/dev/ref/contrib/csrf/
您需要在任何更改数据的请求上使用CSRF令牌。简单的非变异GET不需要一个。