На сайте Джанго,https://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Говорится:

The CSRF protection is based on the following things:

1. A CSRF cookie that is set to a random value (a session independent nonce, as it is called), which other sites will not have access to.
2. ...

Затем он также сообщает, что токен csrf может быть получен из cookie с помощью javascript:

var csrftoken = $.cookie('csrftoken');

Арен»Эти два утверждения противоречат друг другу? Скажем, есть атака Cross Origin, тогда злоумышленник может просто получить токен CSRF из cookie, а затем сделать запрос POST с токеном CSRF в заголовке? Может кто-нибудь объяснить это, пожалуйста?

ОБНОВИТЬ

Теперь я понимаю, что только javascript из того же источника может получить доступ к cookie. Дополнительный вопрос:

Если POST-запрос автоматически добавляет cookie как часть запроса, и django 's Значение файла cookie csrf совпадает с токеном csrf, тогда в любом случае вредоносный перекрестный запрос все равно будет иметь правильный токен CSRF? (в куки)