Целесообразно ли отображать часть страницы GET при сбое CSRF?

Question

Целесообразно ли отображать часть страницы GET при сбое CSRF?

Я настроил веб-сайт в Django и добавил промежуточное программное обеспечение CSRF. Я часто видел сбои CSRF на сайте. В настоящее время я отображаю страницу ошибки 500, когда происходит сбой CSRF.

Тем не менее, я имею в виду загрузку того же URL-адреса, что и запрос GET, каждый раз, когда происходит сбой CSRF, и прошу пользователя повторно отправить форму снова. Этот метод рекомендуется? Каковы будут проблемы безопасности, которые возникнут из-за этого? Любые мысли по этому поводу будут полезны.

1

django csrf csrf-protection django-csrf

Источник

user670740 05 июн '14 в 11:58

1 ответ

Другие вопросы по тегам django csrf csrf-protection django-csrf

user413180 06 июн '14 в 16:51 2014-06-06 16:51 · Answer 1 · 2014-06-06 16:51

Поскольку у любого злоумышленника не будет доступа к ответу из-за одной и той же политики происхождения, вы можете вернуть все, что захотите, включая 200 OK с описанием, чтобы помочь пользователю.

Если бы вы хотели, вы могли бы включить 500 INTERNAL SERVER ERROR ответ, но вы также можете включить некоторые HTML-контент, чтобы сообщить пользователю, что они должны повторно отправить форму.