Posso scrivere il token CSRF su uno script

0

I documenti di django ci dicono che i nostri script AJAX dovrebbero acquisire il token dal cookie designato come in get_cookie('_csrf_token') . Posso piuttosto stamparlo sull'origine HTML, in modo che sia più facilmente disponibile per il contesto JS?

<script>
var TOKEN = "{{csrf_token}}";
</script>
<script src="myscript.js">
    
posta aitchnyu 08.08.2014 - 08:17
fonte

1 risposta

1

Sì, se lo si desidera, non vi è alcun rischio aggiuntivo di sicurezza se si assicura che se la memorizzazione nella cache è abilitata, viene specificata solo la memorizzazione nella cache privata per impedire che questo valore venga memorizzato nella cache da qualsiasi server proxy tra gli utenti e il sistema.

es. cache-control: private intestazione della risposta HTTP.

La Stessa politica di origine impedirà la lettura del token sulla pagina (supponendo che tu non abbia abilitato < a href="http://www.html5rocks.com/en/tutorials/cors/"> CORS ).

    
risposta data 08.08.2014 - 10:04
fonte

Leggi altre domande sui tag