表單提交:
需要做的事情:
1.在cookie中設置csrf_token(沒有),而是sessionID(鑰匙,裏面session空間中存儲的是未加密的csrf_token),(服務器完成)
2.在表單中設置隱藏的csrf_token(手動設置)
校驗流程:
1.通過sessionID取出服務器內部未加密的csrf_token
2.獲取表單中的加密的csrf_token,然後SECRET_KEY解密得到未加密的
然後比較二者!!
非表單提交:
1.在cookie中設置csrf_token,爲了給header使用 ,加密的(手動)
2.在cookie中設置sessionID(鑰匙,裏面session空間中存儲的是未加密的csrf_token),(服務器完成)
校驗過程:
1.通過sessionID取出服務器內部未加密的csrf_token
2.獲取請求頭中的加密的csrf_token,然後SECRET_KEY解密得到未加密的
然後比較二者!!
啓動保護之後:
會對POST,PUT,DELETE,PATCH類型的請求做校驗
GET: 主要用來獲取資源
POST: 主要修改創建服務器資源