标签: django
从文档中,我发现django使用的是永久性的,而不是基于会话的csrf cookie。但是,如果我查看表单所在的网页的源html,我可以看到隐藏的输入,这意味着我可以获得csrf cookie。如果cookie是永久性的,我可以使用cookie伪造POST请求。是吗?
答案 0 :(得分:1)
登录/注销后更改。您可以通过从cookie获取来使用JQuery进行检查:
document.cookie.match(/csrftoken=([\w]+)/)
尝试在重新登录后进行比较。