今天调试代码发现服务程序居然没有对csrf进行校验, 印象中一直是校验的, 最后看了眼restframework的源码发现了原因:
最后一句, 备注上写的 基于session的身份校验阶段已经进行了CSRF验证, 所以就不对视图进行校验了. 然后对所有的视图都进行了csrf免校验 csrf_exempt()
查看APIVIEW的源码发现, 在配置视图需要登录认证的时候, 在对身份进行认证的阶段就会调用CSRF的方法进行校验,所以没必要再进行校验了.
今天调试代码发现服务程序居然没有对csrf进行校验, 印象中一直是校验的, 最后看了眼restframework的源码发现了原因:
最后一句, 备注上写的 基于session的身份校验阶段已经进行了CSRF验证, 所以就不对视图进行校验了. 然后对所有的视图都进行了csrf免校验 csrf_exempt()
查看APIVIEW的源码发现, 在配置视图需要登录认证的时候, 在对身份进行认证的阶段就会调用CSRF的方法进行校验,所以没必要再进行校验了.