DjangoのCsrfMiddlewareに関する注意点

DjangoのCsrfMiddlewareは純粋にCSRFの防止機能を持っています。つまり、多重サブミットをチェックする機能は持っていません。そのため、リロードの対策などは別途用意する必要があります(リダイレクトとか)。

上記は当然の話なのですが、JavaのThe Struts Frameworkを使ってWEBアプリケーションを組んでいると、CSRF対策と言えば「org.apache.struts.action.Action」クラスの「saveToken」メソッドなどを使い(トランザクショントークン)、これがCSRF対策も多重サブミットも防止してくれています。これに慣れていると、CSRF対策でtokenのリセットなどもやってくれると勘違いしてしまうことがあるかもです。

この記事が役に立った場合、シェアしていただけると励みになります!!