我知道 csrf 是防止跨站伪造请求的,但是我觉得下面这种方式可能绕过 csrf 。
如果我要伪造一个跨站的请求。我先去访问 django 网站上带 form 的页面( get 方法),得到相应之后拿出来 csrf_token (从 cookie 中或者从页面中),然后再发送请求,请求的头里面写上我上一次拿到的 toekn 。
请问上面我的这个想法,不可行在哪里? 谢谢。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.