username:

target_username:

money:

username:

1. 只要是用户想要提交post请求的页面 我在返回给用户的时候就提前设置好一个随机字符串


2. 当用户提交post请求的时候 我会自动先取查找是否有该随机字符串


3. 如果有 正常提交


4. 如果没有 直接报403

form表单方法1

{% csrf_token %} 给出一个随机字符串，用来进行校验

真正的网站

ajax方法1

第一种 自己再页面上先通过{% csrf_token %}获取到随机字符串 然后利用标签查找

data{‘username‘:‘jason‘,‘csrfmiddlewaretoken‘:$(‘[name="csrfmiddlewaretoken"]‘).val()},

真正的网站

ajax方法2

第二种data:{‘username‘:‘jason‘,‘csrfmiddlewaretoken‘:‘{{ csrf_token }}‘},

真正的网站

ajax方法3

前端，导入下面的js

真正的网站

第三种

拷贝下面js文件,新建文件夹static,然后静态文件配置，然后导入前端文件

js文件

function getCOOKIE(name) {
var COOKIEValue = null;
if (document.COOKIE && document.COOKIE !== &＃39;&＃39;) {
var COOKIEs = document.COOKIE.split(&＃39;;&＃39;);
for (var i = 0; i var COOKIE = jQuery.trim(COOKIEs[i]);
// Does this COOKIE string begin with the name we want?
if (COOKIE.substring(0, name.length + 1) === (name + &＃39;=&＃39;)) {
COOKIEValue = decodeURIComponent(COOKIE.substring(name.length + 1));
break;
}
}
}
return COOKIEValue;
}
var csrftoken = getCOOKIE(&＃39;csrftoken&＃39;);
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});


将上面的django的静态文件中，在html页面上通过导入该文件即可自动帮我们解决ajax提交post数据时校验csrf_token的问题，(导入该配置文件之前，需要先导入jQuery，因为这个配置文件内的内容是基于jQuery来实现的)

更多细节详见：Djagno官方文档中关于CSRF的内容

校验指定的请求

csrf_exempt 只有两种装饰的方式

from django.views.decorators.csrf import csrf_exempt, csrf_protect
#csrf_exempt 不校验
# csrf_protect 校验


第一种

from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator
@csrf_exempt
def exem(request):
return HttpResponse(&＃39;exempt&＃39;)
@csrf_protect
def pro(request):
return HttpResponse(&＃39;pro&＃39;)


CBV装饰器

除了csrf_exempt之外 所有的其他装饰器 在CBV上面都有三种方式

方式1

命名@method_decorator(csrf_exempt,name=‘dispatch‘)

from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator
from django.views import View
# 第一种
# @method_decorator(csrf_exempt,name=&＃39;dispatch&＃39;)
class MyCsrf(View):
@method_decorator(csrf_protect)
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request,*args,**kwargs)
def get(self,request):
return HttpResponse(&＃39;hahaha&＃39;)
@method_decorator(csrf_protect)
def post(self,request):
return HttpResponse(&＃39;post&＃39;)

方式2

@method_decorator(csrf_protect)


from django.views.decorators.csrf import csrf_exempt, csrf_protect
from django.utils.decorators import method_decorator
from django.views import View
class MyCsrf(View):
@method_decorator(csrf_protect)
def dispatch(self, request, *args, **kwargs):
return super().dispatch(request,*args,**kwargs)
def get(self,request):
return HttpResponse(&＃39;hahaha&＃39;)
@method_decorator(csrf_protect)
def post(self,request):
return HttpResponse(&＃39;post&＃39;)