Django CSRF Coo​​kie - 为什么不在浏览器关闭时过期？

Question

Django允许您指定会话在浏览器关闭时过期（对于Chrome有一些注意事项）。为什么它不这样做的CSRF cookie？

我问，因为在我看来，CSRF令牌很容易泄漏（例如，错误地将它放在外部站点的帖子中），这将是一个缓解。我误解了什么吗？

Answer 1

我会重新发布从卡尔链接开发商的名单我的答案，让计算器有它太：

如果cookie设定在浏览器关闭时过期的，它会导致CSRF对谁关闭用户 错误一个浏览器（或者在页面上加上一个 表单），然后从浏览器缓存中加载该页面，并提交表单。我对这个用例是否支持 （例如在移动设备上可能很重要）， ，但我不相信将cookie设置为在浏览器关闭时过期 提供了很大的安全性好处正确配置 网站（HTTPS，HSTS等）。

Django的CSRF实现与存储 CSRF信息以及服务器会话信息的许多其他实现方式不同[1]。 CSRF 机制的功能是将表单中提供的令牌与在浏览器中作为cookie提供的令牌进行匹配。如果您将cookie设置为 'zzz'，它仍然可以很好地运行。安全来自于 这一事实，即攻击者无法设置cookie，而不是发生 以包含任何特定的加密值。

如果关注的是，攻击者可以在会话之间访问用户的物理 计算机并窃取一个CSRF令牌，将其设置在浏览器关闭时过期 不会阻止攻击者插入已知值的一个cookie 这将是在下届会议期间使用。我不是 ，我们确信我们可以保护攻击者物理访问其计算机的用户的令牌。

尽管如此，如果能够令人信服地证明，设置cookie 在浏览器关闭到期不会破坏现有的使用情况（移动 浏览器是我的主要关注）我会开到更改默认 行为。我们通常认为这是一个错误，如果任何非恶意用户可以通过无辜的行为触发CSRF警告。

[1] Django的CSRF实现通常衬托各种虚假 警报在大多数笔测试工具，因为它不工作完全 同样的方式其他实现做的，是不依赖于会话 曲奇饼。

Answer 2

此问题已被提出并回答了on the django-developers mailing list。