Django中间件,用于会话CSRF并发送CSRF令牌cookie。
django-session-csrf-cookie的Python项目详细描述
这是什么?
django-session-csrf-cookie是django中间件,它提供 使用django-session-csrf时使用csrf令牌cookie。根据设计, django会话csrf不需要csrf令牌cookie,但是 cookie对于ajax请求和其他web api很有用,因为它允许 客户端获取csrf令牌而不解析html。(注意 Cookie不被服务器用于任何目的,因此安全漏洞 django会话csrf的设计目的是修复仍然是修复的。)
安装
来自PYPI:
pip install django-session-csrf-cookie
来自github:
git clone git://github.com/trustcentric/django-session-csrf-cookie.git
将session_csrf_cookie.CsrfCookieMiddleware添加到MIDDLEWARE_CLASSES 低于session_csrf.CsrfMiddleware:
MIDDLEWARE_CLASSES = ( ... 'session_csrf.CsrfMiddleware', 'session_csrf_cookie.CsrfCookieMiddleware', ... )
将session_csrf_cookie添加到INSTALLED_APPS。
设置
session-csrf-cookie-middleware可以使用 以下设置:
- ^{tt8}$
The name used for the CSRF token cookie.
Default: ^{tt9}$
- ^{tt10}$
The domain to be used when setting the CSRF cookie.
Default: None
- ^{tt11}$
Whether to use a secure cookie for the CSRF cookie.
Default: False
- ^{tt12}$
Whether to set the HTTPOnly flag on the CSRF cookie.
Default: False