我在我的网站上测试CSRF保护,我注意到了一些意想不到的事情.
我{% csrf_token %}从表单中删除了,提交仍然有效.我无法理解为什么.然后我查看了源代码并意识到令牌仍然存在于<form>元素旁边.我更改了表单的ID以确保它确实更新了源代码,但是隐藏的输入仍然存在.
我正在使用Django 1.2.是否{% csrf_token %}仍有必要?
干杯
丰富
从文档中:
在Django 1.1中,模板标签不存在。相反,使用了重新编写 POST 表单以包含 CSRF 令牌的后处理中间件。如果您要从 1.1 或更早版本升级站点,请阅读本节和下面的升级说明。
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#legacy-method
| 归档时间: |
|
| 查看次数: |
5322 次 |
| 最近记录: |