La valeur de ce champ correspond à la valeur du cookie CSRF.
The value of this field is the value of the CSRF cookie.
Le chemin défini dans le cookie CSRF.
Un cookie CSRF qui est basé sur une valeur secrète aléatoire auquel les autres sites n'auront pas accès.
A CSRF cookie that is based on a random secret value, which other sites will not have access to.
Le temps d'expiration du cookie CSRF peut maintenant être défini en une valeur compatible avec strtotime().
CSRF cookie expiry time can now be set as a strtotime() compatible value.
Certains outils d'audit de sécurité le signalent comme un problème, mais comme mentionné ci-dessus, un attaquant ne peut pas voler un cookie CSRF du navigateur d'un utilisateur.
Some security audit tools flag this as a problem but as mentioned before, an attacker cannot steal a user's browser's CSRF cookie.
Un cookie CSRF qui est basé sur une valeur secrète aléatoire auquel les autres sites n'auront pas accès.
A CSRF cookie that is set to a random value (a session independent nonce, as it is called), which other sites will not have access to.
Toutefois, si vous utilisez des décorateurs de cache sur des vues individuelles, l'intergiciel CSRF n'aura pas encore pu définir l'en-tête Vary ou le cookie CSRF, et la réponse sera mise en cache sans l'un ni l'autre.
However, if you use cache decorators on individual views, the CSRF middleware will not yet have been able to set the Vary header or the CSRF cookie, and the response will be cached without either one.
Le fait de marquer le cookie CSRF comme HttpOnly n'ajoute pas de protection réelle car le mécanisme CSRF ne sert qu'à protéger contre les attaques inter-domaines.
Designating the CSRF cookie as HttpOnly doesn't offer any practical protection because CSRF is only to protect against cross-domain attacks.
Valeur par défaut : None Le domaine à utiliser lors de la définition du cookie CSRF.
Default: None The domain to be used when setting the CSRF cookie.
Pour toutes les requêtes entrantes qui n'utilisent pas les méthodes HTTP GET, HEAD, OPTIONS ou TRACE, un cookie CSRF doit être présent, et le champ « csrfmiddlewaretoken » doit être présent et correct.
For all incoming requests that are not using HTTP GET, HEAD, OPTIONS or TRACE, a CSRF cookie must be present, and the 'csrfmiddlewaretoken' field must be present and correct.
Valeur par défaut : False Indique si le drapeau HttpOnly doit être utilisé sur le cookie CSRF.
Default: False Whether to use HttpOnly flag on the CSRF cookie.
