2
CSRFが正しく実装されている場合、通常のユーザー(ハッカー以外)のCSRF障害の原因は何ですか?Django CSRF障害 - 障害の原因として考えられるものは何ですか?
クッキーが無効になっている理由の1つは、 ブラウザ/コンピュータの設定で、検証が失敗する可能性がある他の理由はありますか?
ありがとうございます。
CSRFが正しく実装されている場合、通常のユーザー(ハッカー以外)のCSRF障害の原因は何ですか?Django CSRF障害 - 障害の原因として考えられるものは何ですか?
クッキーが無効になっている理由の1つは、 ブラウザ/コンピュータの設定で、検証が失敗する可能性がある他の理由はありますか?
ありがとうございます。
クッキーを無効にすると、CSRFの障害が発生します。その他の潜在的な問題は、問題が発生してからフォームが送信されるまでにCookieが期限切れとなることだけです(ユーザーがフォームを読み込んだ場合、数時間または数日間ブラウザウィンドウを開いたままフォームを返して送信した可能性があります)。
CSRFは、ユーザーがサイトをナビゲートすることによって自然に得られた標準的なフォームで動作します。 CSRFトークンがPOSTデータに渡されないか、要求と共にトークンとともにX-CSRFToken
ヘッダーが送信されない場合、AJAX要求は失敗する可能性があります。同じドメインから送信されないと、HTTPS経由での送信は失敗します。