0
{% csrf_token %}
をGETに追加する必要がありますか?GETクエリのDjango csrf_token
私がGETにそれを追加した場合、リンクがdjango docsからcsrf_token ?csrfmiddlewaretoken=
{% csrf_token %}
をGETに追加する必要がありますか?GETクエリのDjango csrf_token
私がGETにそれを追加した場合、リンクがdjango docsからcsrf_token ?csrfmiddlewaretoken=
を維持するために開始します。
CSRF攻撃に対する最初の防衛はそれを要求(および他の「安全をGET確保することです'メソッドは、9.1.1安全メソッド、HTTP 1.1、RFC 2616#section-9.1.1で定義されているように)は副作用がありません。 POST、PUT、DELETEなどの「安全でない」メソッドによるリクエストは、以下の手順で保護することができます。
ですから、リクエストが任意の副作用を持っていない得れば、あなたはCSRFトークンを含めるを必要としない。
@ lise2005はい、ありがとうございます。しかし、「副作用」とは何ですか? – worm2d
GETリクエストでは、データのみを取得する必要があります。したがって、データベースにデータを保存しないでください(https://tools.ietf.org/html/rfc2616.html#section-9.1.1) – ilse2005
@ worm2d:GET要求が1回実行されるかどうかは関係ありませんまたは1000回、バックエンドで何も変更しないでください(データベースの変更やファイルの変更などはありません)。 – RemcoGerlich