我正在调查django csrf_token保护,我知道它是如何工作的,但仍然有一个我想知道的问题。例如,在http请求中,如果攻击者可以嗅探所有用户的网络流量,这意味着攻击者仍然可以获取csrf_token并使用有效的csrf_token发出虚假请求。如上所述[{1}},我对CSRF抱有同样的疑问,如果攻击者获得了用户的请求,他/她仍然可以提出虚假请求。你能解释一下我的例子描述是否正确吗?如果是这样,我们可以做些什么来处理这个问题?
答案 0 :(得分:1)
这是对的。解决这个问题的方法是加密整个连接,使其无法被嗅探(即使用HTTPS)。设置它超出了Stack Overflow的范围。