Документация Django по защите CSRF гласит, что:
Кроме того, для запросов HTTPS, строгая проверка ссылок выполняется CsrfViewMiddleware. Это необходимо для обращения к атаке "человек в центре" это возможно при HTTPS, когда использование независимого сеанса к факту, что HTTP 'Set-Cookie' заголовки (к сожалению) приняты клиентами, которые разговаривают с сайтом под HTTPS. (Проверка референта не для HTTP-запросов, поскольку наличие заголовка Referer не достаточно надежный по HTTP.)
У меня возникли проблемы с визуализацией того, как эта атака работает. Может кто-нибудь объяснить?
UPDATE:
Формулировка в докторе Django, по-видимому, подразумевает, что существует определенный тип атаки "человек в середине" (который приводит к успешному CSRF, который я предполагаю), который работает с независимым от сеанса nonce (но не с конкретным транзаксом nonce и т.д.., Я полагаю) и предполагает использование заголовка "Set-Cookie".
Поэтому я хотел знать, как работает этот тип атаки.