1. 首页
  2. 问答
  3. Django管理形式可以跨站请求伪造(CSRF)

Django管理形式可以跨站请求伪造(CSRF)

2016-01-17 54 views
2

在我的Django管理站点,我运行漏洞测试进行操作,并显示以下威胁:Django管理形式可以跨站请求伪造(CSRF)

An effective CSRF (Cross-Site Request Forgery) countermeasure for forms is to 
include a hidden field with a random value specific to the user's current session. 
A form was detected that did not appear to contain an anti-CSRF token. 
This form was tested for susceptibility to a CSRF attack and determined to be vulnerable.

我在管理页面查询; CSRF已经确定。

来源

2016-01-17 Muhammad Naeem Paracha

+0

你正在运行的测试和django的版本是什么? –

+0

QUALYS Web应用程序漏洞扫描,Django版本是1.8.2 –

+0

您需要提供更多详细信息,因为触发错误的URL是什么。不要在这里发布,而要发送一封包含所有详细信息的电子邮件到'security @ djangoproject.com' –

回答

0

自动工具通常会给Django的CSRF保护带来误报。 Django安全团队得到了许多这样的无效报告。

来源

2016-02-13 00:36:57

相关问题

 相关问题