मैं csrf protcetion तंत्र की django में मेरी समझ को लिख रहा हूं। अगर यह दोषपूर्ण है तो कृपया मुझे सही करें।django छिपे हुए क्षेत्र में csrf को समझने और CSRFCookie
csrfViewMiddleware एक छिपा क्षेत्र में एक अद्वितीय स्ट्रिंग और यह भंडार एक रूप host.Since से भी इस फ़ॉर्म नकल उतार इस क्षेत्र के मूल्य के बारे में पता नहीं होगा एक दुर्भावनापूर्ण वेबसाइट होने वाले की 'csrfmiddlewaretoken' बनाता है, जिसे उसका उपयोग नहीं कर सकते हैं।
जब कोई कोई फॉर्म पोस्ट करने का प्रयास करता है, तो वेबसाइट 'csrfmiddlewaretoken' फ़ील्ड और उसके मान की जांच करती है। अगर यह गलत है या सेट नहीं है, तो एक सीएसआरएफ प्रयास का पता चला है।
लेकिन फिर, CSRFCookie वास्तव में क्या है? The doc का कहना है कि अद्वितीय मान CSRFCookie में और hidden field में भी सेट किया गया है। यह वह जगह है जहां मैं उलझन में हूं। क्या कुकी को अद्वितीय स्ट्रिंग के साथ ब्राउजर में भेजा जाता है? मेरी इच्छा है कि कोई इसे थोड़ा स्पष्ट रूप से समझा सके।
धन्यवाद,
तो केवल एक प्रमाणीकृत उपयोगकर्ता के ब्राउज़र को यह टोकन मिलता है और साइट पर आने वाले हर कोई नहीं। क्या यह सही है? – damon
यह सुनिश्चित नहीं है कि Django इसे कैसे संभालता है - यह प्रमाणीकरण स्थिति के बावजूद सभी उपयोगकर्ताओं की रक्षा कर सकता है। असल में कोई भी क्रिया जिसमें आपके ऐप के कुछ पहलू को बदलने की क्षमता है, में सीएसआरएफ सुरक्षा होनी चाहिए। – Todd