9.5. 跨站点请求站(CSRF)

使用多个 JavaScript 实例的仪表板应该针对不当使用 @csrf_exempt decorator 等漏洞进行审核。在降低 CORS (Cross Origin Resource Sharing)限制前，评估所有不遵循推荐的安全设置的仪表板。将您的 Web 服务器配置为发送限制性 CORS 标头，其中包含每个响应。只允许仪表板域和协议，例如：Access-Control-Allow-Origin: https://example.com/。您不应该允许通配符来源。