安全扫描期间CSRF令牌cookie漏洞

Question

我正在使用Django为我的雇主创建一个简单的网站，我不得不通过安全扫描运行代码来测试漏洞。其中一个问题是cookie漏洞，我可以找到要查找的文档。

登录到我的网站时会引发cookie漏洞。

这是错误-扫描由OCIO-Internet-扫描运行

CVSS: 5.0消息: csrftoken有问题csrftoken = J4S6ZO7ssz4TUIlRNv9d95mCFomAbXO1; Host = [removed] Path = /

1. 曲奇可以被缓存。
2. 曲奇是持久的。饼干到期日期:2017年6月7日，星期三

持久化会话处理cookie :当会话处理cookie被永久设置时，即使在用户终止会话之后，它也允许cookie有效。因此，攻击者可以使用浏览器作为文本文件存储的会话cookie来访问受限信息。可缓存的cookie :可缓存的cookie可以缓存在代理或网关上。它可能导致服务于过时或陈旧的cookie值。如果攻击者破坏了代理或网关，也可能窃取此类cookie。

我的问题是，在哪里可以对csrftoken行为进行更改？我找不到它使用谷歌，我不能提出网站，直到这是固定的。我甚至能够改变csrf的行为方式来适应这些错误吗？

Answer 1

听起来像是要将CSRF_COOKIE_AGE设置更改为None

默认值：31449600 (大约1年，以秒为单位) CSRF饼干的年代，以秒为单位。 设置长期过期时间的原因是为了避免在用户关闭浏览器或书签页面然后从浏览器缓存加载该页的情况下出现问题。如果没有持久cookie，表单提交在这种情况下将失败。 有些浏览器(特别是Internet )可能不允许使用持久cookie，或者在磁盘上破坏cookie jar的索引，从而导致CSRF保护检查失败(有时是间歇性的)。将此设置更改为None，以使用基于会话的cookies，它将cookie保存在内存中而不是在持久存储上。

这将导致它是一个会话cookie，而不是一个持久cookie。会话cookie没有过期日期，因此浏览器只将它们保存在当前浏览器会话的内存中，然后在会话结束时删除它们。

您可以找到有关如何更改Django设置here的信息。