У меня вопрос о механизме Django CsrfViewMiddleware. Я знаю, что Джанго:
- Устанавливайте новый файл cookie csrftoken при каждом запросе.
- Убедитесь, что значение заголовка X-CSRFToken (или скрытый ввод "csrfmiddlewaretoken") должно быть равно cookie csrftoken.
Но Django не проверяет, использовался ли уже токен (пример из CsrfViewMiddleware):
if not constant_time_compare(request_csrf_token, csrf_token):
return self._reject(request, REASON_BAD_TOKEN)
Таким образом, я могу отправить несколько запросов с помощью одного и того же токена (я тестировал его на своем сервере).
Это стандартное поведение или у меня неправильная установка Django? Спасибо.