反CSRF令牌和Javascript

问题内容： 我有2个html页面。 父页面和子页面。子页面包含一个提交按钮，该按钮在父页面上运行代码以提交Ajax消息。 我使用$ .load（）方法加载子页面，然后在单击按钮时运行$ .ajax .POST方法。此post方法仅将JSON字符串传递给Python代码。 当我在除IE以外的任何浏览器上执行此操作时，它工作正常。但是，当我在IE中运行此代码时。我收到有关CSRF令牌的Python /

本页描述了解释CSRF攻击的用例（16.1）： https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html 但是，如果用户确实登录了银行的网站，那么邪恶的网站难道不可能发出GET请求以获取新的CSRF令牌，并在根本不需要用户的情况下撰写帖子吗？ 答案必须是否定的，否则CSRF令牌将毫无用处，但我

问题内容： 我有使用mod_wsgi在apache服务器上运行的django，以及由apache（而不是django）直接提供服务的angularjs应用。我想对django服务器进行POST调用（运行rest_framework），但csrf令牌存在问题。 是否可以通过某种方式从服务器设置令牌而不将其作为模板的一部分放置（因为这些页面没有经过django）？ 我希望能够通过GET请求以cooki

问题内容： 我在CSRF令牌方面遇到问题。当我提交表单时，正在生成一个新的表单，但是我想我正在生成两个不同的令牌，这有点困惑。还有一个名为的令牌，因此我在开发人员工具中看到了两个不同的cookie（XSRF- TOKEN和_csrf），发布后它们没有变化。 我想要做的是为每个帖子请求生成一个新令牌，并检查它是否有效。我知道为了安全起见应该这样做，但是我坚持了下来。 漫长的一天，我是Express和

请澄清我对CSRF攻击的概念。在csrf中，我们从隐藏字段发送令牌，即， 我们会在会议的基础上提交表格。如果攻击者找到我的表单并更改隐藏值并提交表单，则他将成功。我怎样才能防止形成。

我目前正在尝试创建一个小型web应用程序，Angular 2作为前端，Rails 4作为后端-我的后端只是一个API，而我的前端只是发送请求。 我今天在试图提交帖子请求时遇到了CSRF令牌真实性错误-如何将这些CSRF标题添加到我的Angular 2标题中？