标签: http session-cookies csrf-protection
我正在使用Flask开发一个网站,我正在研究如何实现会话。 Flask将会话数据存储在加密签名的cookie中,因此会话存储在客户端。
假设客户已经知道存储在cookie中的数据(没有隐藏在客户端的敏感数据),这种方法的问题是什么?将CSRF令牌存储在客户端cookie中是否安全,只要它已签名?