Django中CSRF原理

不要注释掉Csrf
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

前端开始提交时候，就会有个校验Csrf校验

通过form表单提交

    <form action="/login/" method="post">

          {% csrf_token %}
　　　　　　#HTML会生成一个input元素参与到form表单提交中

        <input type="text" name="user">
        <input type="text" name="password">
        <input type="checkbox" name="rmb" value="1">10秒免登录
        <input type="submit" value="提交">

        <input id='btn' type="button" value="按钮">


    </form>

通过AJAX提交

<script>

        {##配置默认在触发AJAX请求加上headers#}
        $(function () {
           $.ajaxSetup({
               {#xhr 所有的ajax底层操作都是XMLHttpRequest#}
               beforeSend:function (xhr,settings) {
                   xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken'));
               }
           })
        });



        $(function () {
            $('#btn').click(function () {
                $.ajax({
                    url:"/login/",
                    type:"POST",
                    {#headers:{'X-CSRFtoken':$.cookie('csrftoken')},#}
                    data:{"user":"root","pwd":"121"},
                    success:function (arg) {
                        console.log(arg);
                    }

                })
            })
        })
    </script>

setting中配置django.middleware.csrf.CsrfViewMiddleware是全局变量

当views中可以指定一个模块要进行Csrf，可以在方法上加上装饰器

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect，为当前函数强制设置防跨站请求伪造功能，即便settings中没有设置全局中间件。
@csrf_exempt，取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

示例：
from django.views.decorators.csrf import csrf_exempt,csrf_protect

@csrf_protect
def test():
　　print('1234')

前端通过Ajax请求方式判断是否需要进行跨站请求

   <script type="text/javascript">
        var csrftoken = $.cookie('csrftoken');{#获取csrf#}
  
        function csrfSafeMethod(method) {
            // these HTTP methods do not require CSRF protection
            return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
        };{#进行正则提取#}
        $.ajaxSetup({
            beforeSend: function(xhr, settings) {
                if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                    xhr.setRequestHeader("X-CSRFToken", csrftoken);
                }
            }
        });
        function Do(){
  
            $.ajax({
                url:"/app01/test/",
                data:{id:1},
                type:'POST',
                success:function(data){
                    console.log(data);
                }
            });
  
        }
    </script>