Question

Имея токен JWT, необходимый для каждого запроса к API, я должен сохранить защиту CSRF?Конечно, если учесть, что никто не имеет доступа к другому jwtoken.

Если да, как я могу получить токен csrf, поскольку я не использую шаблоны django (я использую Vue отдельно).

Если нет, можно ли полностью удалить промежуточное ПО CSRF из настроек?

Заранее спасибо.

Paul Griffin · Answer 1 · 26 сентября 2018

Если вы храните JWT в localStorage, вы не уязвимы для CSRF, потому что localStorage не может быть доступен через домены.Однако вы должны знать, что ведутся споры о том, разумно ли хранить JWT в localStorage, поскольку его можно украсть, если вы станете жертвой XSS.Альтернативой является сохранение токена в файле cookie httpOnly, и в этом случае вы должны использовать защиту CSRF.

yogkm · Answer 2 · 22 сентября 2018

Если вы используете Django, csrf_token будет на вашем сайте куки.Вы можете получить к нему доступ из файлов cookie и передать его вместе с запросом.

Обработка CSRF-токена при работе с Django Rest Framework JWT

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Обработка CSRF-токена при работе с Django Rest Framework JWT

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы