多个csrftoken cookies，RFC是否要求只有1个csrftoken？

这里代币存储在cookie中。Cookies根据其范围（域和路径）和cookie名称是唯一的。

在这种情况下，所有cookie都具有相同的名称-csrfToken，它们也具有相同的域-127.0.0.1，但是每个cookie的路径是唯一的。因此，不同的范围（更具体地说，路径）允许具有多个cookie。

描述防止CSRF攻击的保护措施的最受引用和尊重的文档是OWASP跨站点请求防伪备忘单（GitHub Markdown变体）。

每个html" target="_blank">用户会话生成一个csrf令牌并将其存储在cookie中是最流行的方法。与会话关联使其在某种程度上不受cookie更改的影响。请注意，您应该使用其他方法（即双重提交cookie，并在请求正文中包含令牌）进行保护，因为cookie是根据请求自动发送的。

会话更改视图（登录/注销/密码更改）和其他重要且高安全性的视图（即转账）可以并且应该使用高级和/或附加技术（即用户交互）进行保护。

为什么返回多个csrf令牌？

后端行为的可能解释：这可能是试图向应用程序添加图形ql支持。它看起来也像是Graphql和rest的结合。

向/graphqlendpoint发出请求，该endpoint依次遍历所有其他rest apiendpoint，就好像将来可能向它们发出POST/PUT/PATCH请求一样，每个endpoint/视图向响应添加自己的每个路径/每个表单（甚至每个请求）csrftoken cookie。此外，使用这种方法，下一个请求可能不会发送到/graphqlendpoint，而是直接发送到RESTAPIendpoint/视图url之一。

使用Graphql，您将只有一个/Graphqlendpoint，所有请求都将向它发出。

此外，拥有多个csrf令牌（每个endpoint）也不会带来任何好处。

有关向django添加GraphQLAPI的方法，请查看Graphene

如果您正在考虑将单独的前端应用程序与Django后端一起使用，那么您肯定应该查看Django cors头文件（并使用它）。

不要求只有一个令牌，但更常见的方法是在单个根路径上更新/刷新CSRF令牌cookie：/。

这实际上取决于服务器如何解释每个令牌请求之后的潜在表单帖子。一种简单的方法是在设置cookie之前将新生成的令牌存储在用户的会话存储（内存或数据库中）。然后，当用户的表单帖子到达时，在服务器上再次比较这两者。

>