使用金字塔web框架,当在会话对象上调用new_csrf_token()方法时,它是否会使之前发布的CSRF令牌无效?
例如:
old_token = session.get_csrf_token()
new_token = session.new_csrf_token()
# Is old_token still valid for requests?
当检测到跨站点请求伪造(CSRF)时,我应该发送什么响应?
有一个扫描工具,我无法得到它是说,我的一个网页不受CSRF保护。但它是。我返回的响应是一个普通的202,它的句子是“请求不能被处理”。就是这样,没有任何信息会被发送给攻击者,而我会记录这一尝试。但是这个软件说它仍然容易受到CSRF的影响。我可以自己轻松地运行测试,但在扫描和测试之间需要很长时间,而我无法获得相同的软件,这就是为什么我要求堆栈溢出,所以我希望在下一次预定的扫描中删除它。我正在考虑发回一个statusCode of 404或410而不是202。
当检测到CSRF时,建议发送什么?