Tornado的XSRF保护是否适用于循环环境?

时间:2015-06-03 23:56:29

标签: tornado csrf

我打算在我的网络应用中使用Tornado's XSRF protection。但我想知道:如果我需要扩展以拥有一组服务器,它是否仍然可以工作 - 或者如果前面的请求已经转到另一台服务器,请求会失败吗?

1 个答案:

答案 0 :(得分:1)

XSRF令牌在服务器上没有状态:它is not checked针对任何已知或存储的值,而不是请求中令牌的两个实例:

  1. _xsrf Cookie
  2. 以下任何一个:
    • X-Xsrftoken标题
    • X-Csrftoken标题
    • _xsrf参数(例如?_xsrf=...请求的GET
  3. 因此,如果请求不是由Web服务器的同一实例提供服务,则无关紧要。其他Web服务器也可能如此。