django - DjangoのCSRFミドルウェアからの大量の誤検知？

Question

Djangoの寄稿者であるCSRFミドルウェアから大量の誤検知が発生しています。サイトの通常の使用から、CSRFが偽造攻撃の疑いとしてリクエストのブロックを開始する場合が多くあります。

他の誰かがこのような問題を抱えていますか？私はDjangoのSVNブランチを使用しているので、最新バージョンのCSRFミドルウェアを使用しています。これらの問題をどのように診断できますか？

更新：本番サイトと開発サイトでこれらの誤検知が発生しています。それらは散発的に発生します。私のサイトはサブドメインを使用しており、異なるサーバーで実行されているがサブドメインで区切られているサイトの異なる開発/本番バージョンがあります。CSRF攻撃の警告をトリガーするものは何ですか？開発Cookieが本番サイトに送信されたときですか？同じログインユーザーのサブドメイン間を移動すると問題が発生しますか？

Answer 1

Django での CSRF 保護は、隠しフィールドと適切に機能するセッションに基づいています。これら 2 つのサイトを区別するためにサブドメインを使用している場合は、ケースを処理できるように が適切に設定されてsettings.SESSION_COOKIE_DOMAINいるかどうかを確認してください。