<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <div class="moz-cite-prefix">On 05/16/2013 05:53 PM, Matt Tesauro
      wrote:<br>
    </div>
    <blockquote
cite="mid:CALKUk+MSf7oMC2-yh8JJQQ2bO7sqVPOL2a=Qw5Sx=2NM_cDVEA@mail.gmail.com"
      type="cite">
      <div dir="ltr">
        <div style="">While I'm up to my ears with Python at Rackspace
          & with OpenStack, I've not used Django for any of the code
          I've written recently - or actually ever.</div>
        <div style=""><br>
        </div>
        <div style="">
          I'm got an  app which is basically using the Django CSRF
          protection as outlined here:</div>
        <div style=""><a moz-do-not-send="true"
            href="https://docs.djangoproject.com/en/dev/ref/contrib/csrf/">https://docs.djangoproject.com/en/dev/ref/contrib/csrf/</a><br>
        </div>
        <div style="">for both "normal" web forms as well as AJAX calls.</div>
        <div style=""><br>
        </div>
        <div style="">I'm curious about anyone's experience with the
          Django CSRF protection, how well it works and any "gotchas",
          weakness or other issues with Django's CSRF protection.</div>
      </div>
    </blockquote>
    <br>
    It accepts any value for csrf_token, if it comes in both cookie and
    form (double submit). <br>
    <br>
    Gotchas : <br>
    This means that a XSS in a sibling or child-domain is a security
    hole, since that can be used to set cookies. <br>
    - *But* it also checks referer, so that won't work. <br>
    - *However*, referer is fragile on http-sites (since https wont send
    referer), so that part is disabled by default if the site is served
    over http. <br>
    <br>
    So, if the site is https-only, as I understand it it's quite ok.
    Less so on http-sites. Please correct me if I'm wrong. <br>
    /Martin Swende<br>
    <br>
    <br>
    <blockquote
cite="mid:CALKUk+MSf7oMC2-yh8JJQQ2bO7sqVPOL2a=Qw5Sx=2NM_cDVEA@mail.gmail.com"
      type="cite">
      <div dir="ltr">
        <div style=""><br>
        </div>
        <div style="">List or direct replies appreciated.</div>
        <div style=""><br>
        </div>
        <div style="">Thanks in advance.</div>
        <br clear="all">
        <div>--<br>
          -- Matt Tesauro<br>
          OWASP WTE Project Lead<br>
          <a moz-do-not-send="true"
            href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project"
            target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a><br>
          <a moz-do-not-send="true" href="http://AppSecLive.org"
            target="_blank">http://AppSecLive.org</a> - Community and
          Download site
          <div>OWASP OpenStack Security Project Lead
            <div><a moz-do-not-send="true"
                href="https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project"
                target="_blank">https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project</a></div>
          </div>
        </div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>