피라미드 웹 프레임 워크를 사용하면 세션 객체에 new_csrf_token() 메서드가 호출 될 때 이전에 발행 된 CSRF 토큰이 무효화됩니까? 예를 들어Pyramid 세션 객체에서 new_csrf_token() 메서드를 호출하면 이전에 발행 된 토큰이 무효화됩니까?
:
old_token = session.get_csrf_token()
new_token = session.new_csrf_token()
# Is old_token still valid for requests?
이전에 릴리스 된 CSRF가 세션 토큰을 무효화 피라미드의 세션 개체 중 하나에 new_csrf_token() 메서드를 호출.
피라미드의 ISession 인터페이스는 CSRF 토큰을 처리하는 두 가지 방법, 즉 get_csrf_token()과 new_csrf_token()만을 정의합니다. 현재이 프레임 워크의 세션 인터페이스는 여러 CSRF 토큰이 동시에 존재하는 것을 허용하지 않습니다. (CSRF 보호의 보안에 영향을 미치지 않아야하는 서명 된 쿠키가있는 홀수 엣지는 무시합니다.)
내부적으로 피라미드는 요청 세션 개체에 대해 get_csrf_token() 메서드를 호출하고 수신 된 토큰과 비교합니다 요청.
예전의 CSRF 보호 토큰을 사용하는 요청은 실패 할 것으로 가정해야합니다.