使用Pyramid web框架时,在会话对象上调用new_csrf_token()方法时,它是否使先前发出的CSRF令牌无效?在金字塔会话对象上调用new_csrf_token()方法是否使先前发出的令牌失效?
例如:
old_token = session.get_csrf_token()
new_token = session.new_csrf_token()
# Is old_token still valid for requests?
调用金字塔上的会话对象将无效所有以前发布的CSRF令牌该会话的一个new_csrf_token()方法。
金字塔的ISession接口只定义了两个方法来处理CSRF令牌,get_csrf_token()和new_csrf_token()。此时,框架的会话接口不允许同时存在多个CSRF令牌。 (这会忽略带有签名cookie的奇数边缘情况,这不会影响CSRF保护的安全性。)
内部Pyramid在请求的会话对象上调用get_csrf_token()方法,然后将返回的值与在请求。
应该假定使用旧的CSRF保护令牌的任何请求都会失败。