那些遇到过的问题

Django CSRF_COOKIE_DOMAIN - 如何优雅地改变

Kry*_*ski 6 django cookies django-csrf

我有一个使用CSRF保护的公共Django站点.

我没有设置CSRF_COOKIE_DOMAIN.我的网站使用子域名.

有时,用户最终会csrftoken设置cookie .toplevel.com以及开启sub.toplevel.com.这会导致问题,因为如果在检查中使用了错误的cookie,CSRF检查将失败.

我想设置一个CSRF_COOKIE_DOMAIN.toplevel.com.但是,我还想删除csrftoken任何子*.toplevel.com域的任何cookie .我该怎么做?

如果我不删除其他cookie,我将最终在最初的情况下,在不同的域上有两个具有相同名称的cookie,这会导致问题.

leh*_*ins 9

我遇到了类似的问题.我处理它的方式是与CSRF_COOKIE_DOMAIN我一起改变了CSRF_COOKIE_NAME,使旧的"csrftoken"饼干过时了.

  • 这是非常正确的,如果在执行GET的人之间进行此更改,然后立即发出POST请求,则会失败.如果网站上的用户不多,这是一个非常不可能的情况,但如果确实存在一个大问题(例如,如果有数千个并发用户),可以通过暂时覆盖`django.middleware.csrf.CsrfViewMiddleware来处理它. `并在`process_view`方法中检查两个cookie名称. (3认同)

归档时间:

查看次数:

2361 次

最近记录:

11 年 前
相关归档
使用Django和Python 3检测移动设备 13
是否可以使用 StreamingHttpResponse 生成 PDF,因为可以使用 CSV 生成大型数据集? 13
使用json序列化查询集的结果会引发错误: 11
如何在django中禁用缓存以进行开发? 11
如何让工作人员访问一些Django设置? 9
DRF YASG 定制 8
如何在tab关闭上删除jquery cookie 6
Android WebView removeCookie 5
如何在 Django/Wagtail 中检索 cookie 以设置 Python 变量 4
如何以通用方式禁用cookie,直到用户接受cookie 4
难疑归档
如何重命名本地Git分支? 8033
避免!= null语句 3904
我是否施放了malloc的结果? 2318
如何使用java.net.URLConnection来触发和处理HTTP请求 1903
如何从git repo中删除文件? 1795
为什么在C++中读取stdin的行比Python要慢得多? 1738
如何停止跟踪并忽略Git中文件的更改? 1634
Memcached与Redis? 1398
确定两个日期范围是否重叠 1180
创建一个带参数的Bash别名? 1164