Django之CSRF

在我们的Django项目中，当前端的表单以POST方式提交至后端，如果在seetings.py文件里没有将csrf删除的话，会无法提交，并且发生403错误

将这一段删除后就不会产生上面的错误了

原因是什么？这其实是Django利用csrf做的防护措施，当前端以POST提交的时候，后端并不会将数据立即接受，而是会先到前端取一段随机字符串，这是由csrf生成的字符，如果没有的话，后端会为了安全而拒绝接收这些数据。

1.如何在提交表单的时候将csrf传到后端：

　　在form表单里添加：

　　{% csrf_token %}  

　　这样一段代码就可以了，Django会自动生成并获取到csrf产生的随机字符串。

2.ajax提交如何将csrf传到后端：

$.ajax({
        url:'/login/',
        type:'POST',
        data:{'user':'root','pwd':'123'},
        headers:{'x-CSRFtoken':$.cookie('csrftoken')},#请求头不能有下划线
                                                      #通过js将存在cookie中的csrftoken取到                        
        success:function(arg){
            pass
        }
    })

上面的操作可以使你的Ajax请求过了CSRF这一关，但是，当你有更多的Ajax请求需要发送时，就必须在每一个Ajax里添加一段header，非常的繁琐。

当然我们也有更加便捷的办法：

function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        }#以上方式的请求都不加csrftoken(下面的if判断中)    
    $(function({
        $.ajaxSetup({
            beforeSend:function(xhr,settings)#xhr是XML的对象，ajax是基于XML发送的
            if (!csrfSafeMethod(settings.type) && !this.crossDomain){ 
                xhr.setRequestHeader('X-CSRFtoken',$.cookie('csrftoken'));
                }    
            });
        $.ajax({
            url:'/login/',
            type:'POST',
            data:{'user':'root','pwd':'123'},
            success:function(arg){
                pass
            }
        })
    })
    )

 （来自官方文档）

ajaxSetup是Ajax的配置代码，在这里的设置可以对所有的Ajax进行配置，所以可以将csrftoken的请求放在这里，这样就没必要对所有的Ajax进行单独的配置了。

 3.如何对csrf进行局部配置：

views.py:

from django.views.decorators.csrf import csrf_protect,csrf_exempt
#添加装饰器
@csrf_exempt            #表示不需要认证
@csrf_protect           #表示需要认证