我在django中设置了一个网站并添加了csrf中间件。我经常可以从网站上看到CSRF失败。目前,当CSRF发生故障时,我会显示500错误页面。
但是,我想在每次发生CSRF失败时加载与GET请求相同的URL,并要求用户再次重新提交表单。这种方法是否可取?由此产生的安全问题是什么?对此有任何想法都会有所帮助。
答案 0 :(得分:0)
由于任何攻击者都无法访问由Same Origin Policy引起的回复,因此您可以返回任何内容,包括200 OK及其说明以帮助用户。
如果您希望包含500 INTERNAL SERVER ERROR响应,但您还可以添加一些HTML内容,以告知用户他们应该重新提交表单。