1、如果在post的form表单中添加{% csrf_token %}字段,那么django的csrfmiddleware中间件会自动为此站点生成"<input name='csrfmiddlewaretoken' value='随机字符串' /> "这个字段django是怎么生成的?
2、既然csrf令牌是一段随机字符串,django要拿它做验证,将它存储在哪,服务端的缓存还是数据库?
3、我在每次刷新页面的时候<input>中的csrf的value都会更新,每次重复登录的时候cookie的csrf令牌都会刷新,那么这两个csrf-token有什么区别,难道cookie中的csrf-token只做身份验证?
4、既然使用ajax以post方式发送请求,要用的cookie中的csrf令牌,xhr.setRequestHeader("X-CSRFToken", csrftoken);或者是getCookie('csrfgoken'),那么浏览器cookie就不会被伪造站点,黑客利用?