在通过 JS 发异步登陆请求的场景下，Django 比对的是请求中的 X-CSRFToken 头及 token cookie；但前者实际上也来源于后者，这样做是否安全？

是安全的。攻击者除非使用 XSS 将恶意代码注入到你的页面中，不然它没有办法使用 JS 去读取到 cookie 中的 token，也就无法构造恶意请求。

但是 token 的 cookie 仍应限制好域名范围。之前大公司中，有一些因为子域名安全防范不严引起的攻击。比如 qq.com 下发了域名范围为 .qq.com（即针对全部子域名生效）的身份 cookie，同时没有设置 HttpOnly。假如此时 f.qq.com 的安全措施做得不好，被黑客 XSS 攻击了，那黑客可以在 f.qq.com 中获得用户全站的身份 cookie。黑客往往喜欢找大公司中不再有团队维护的页面做攻击。

固定的、非表单中的 CSRF token，为啥要通过 cookie 下发？

应该是为了提供 JS 发异步请求的支持。对于 SPA 场景，使用的是 React 等框架，并不使用 Django template，没法把 CSRF token 带下来；那 JS 只能去读 cookie 中的 token。

Django 为了平衡便利与安全（比如开发阶段的 debug server 往往没有上 HTTPS），这个 cookie 并没有设置上 HTTP only 及 secure。

如果你没有使用 JS 发请求的需要，也可以修改 Django 配置：

• 将 cookie 设置为 HTTP only，减少被 XSS 时的影响（但 XSS 是无论如何都应该防下来的）
• 使用服务端的 session 来保存，不再下发给客户端

如果你的生产环境上 HTTPS，可以区分不同环境给 cookie 设置上 secure flag。

Django 将 CSRF token 通过 cookie 下发，是否增加了被 CSRF 的可能性？

对于现代浏览器，它们能理解 Django 在 cookie 的 SameSite 上配置了 Lax，这可以做到很好的防护。但即使是未支持 SameSite 的浏览器，Form 中的 csrf token 也可以防住攻击。

但是假如你的站点被 XSS 攻击，那这些防范措施都没有作用，黑客可以以用户身份做任何事情。这个时候他也不需要费劲去搞 CSRF。

Token 为什么要加盐？

如果不加盐，每个 CSRF token 都是一样的，失去了保护意义。

同时它可以防暴力爆破。Django 是开源软件，token 的生成过程是公开的，如果不加盐，黑客可以预先生成一个 secret 对应生成后的 token 的彩虹表，然后通过 token 反查出 secret，于是服务端安全不复存在。

为什么 Django 默认不将 CSRF 保护与具体的会话关联在一起？

文档里有 提及。是为了支持匿名会话，即用户不登录也可以使用。所以如果你用默认的 cookie 实现而不是用 session，那 session 的 middleware 不启用也没有关系。