gpt4 book ai didi

python - 多个 csrftoken cookie,RFC 要求只有 1 个 csrftoken 吗?

转载 作者:行者123 更新时间:2023-12-03 14:42:59 25 4
gpt4 key购买 nike

我试图找到以下问题的答案。

  • 什么情况下浏览器会存储多个csrftoken cookies ?
  • 它是正确的还是技术上有效的功能?
  • 以及在 RFC/security 文档中传递数组的位置,或尝试 csrftoken 的数组存在,还是技术上有效?

  • 我附上了我看到的多个示例截图 csrftoken具有各种 cookie 路径和到期时间( Multi-Tenancy 和各种形式路径)。

    enter image description here

    有关的:
  • https://github.com/django/django/blob/5a68f024987e6d16c2626a31bf653a2edddea579/django/middleware/csrf.py#L324
  • https://github.com/django/django/blob/5a68f024987e6d16c2626a31bf653a2edddea579/django/middleware/csrf.py#L191
  • Cookie path and its accessibility to subfolder pages
  • 最佳答案

    不需要只有一个 token ,但更常见的方法是在单个根路径上更新/刷新 CSRF token cookie:/ .

    这实际上取决于您的服务器如何解释每个 token 请求之后的潜在表单帖子。一种简单的方法是在设置 cookie 之前将新生成的 token 存储在用户的 session 存储中(在内存或数据库中)。然后当用户的表单 POST 到达时再次在服务器上比较这两个。

  • 当每个 HTTP GET 请求(使用 token 响应)指定自定义 cookie 路径时,浏览器会存储多个 token cookie。一种更常见的方法是使用一个 cookie 来防止 CSRF。
  • 您可以使您的 token 路径特定,但这不会使您的 token 更安全。
  • 测试 token 有效性完全取决于您。

  • 希望这可以帮助。

    关于python - 多个 csrftoken cookie,RFC 要求只有 1 个 csrftoken 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59503895/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com