Django实战-csrf_token 跨站请求

Django网络应用开发的5项基础核心技术包括模型（Model）的设计，URL 的设计与配置，View（视图）的编写，Template（模板）的设计和Form(表单)的使用。

一、CSRF认证

在业务场景中，有两种不同的csrf防护场景，一种是基于Form 表单提交数据的防护，一种是基于ajax 异步请求数据的防护。

csrf要求发送post、put或delete请求的时候，是先以get方式发送请求，服务端响应时会分配一个随机字符串给客户端，客户端第二次发送post、put或delete请求时携带上次分配的随机字符串到服务端进行校验。

二、Django中CSRF中间件

在 django 项目中，如果想对全局所有视图函数或视图类起作用时，就可以在中间件中实现，比如想实现用户登录判断，基于用户的权限管理等都可以在Django中间件中来进行操作，Django内置了很多中间件,其中之一就是CSRF中间件。

三、csrf_exempt 装饰器

在 Django 项目中，注册起用了CsrfViewMiddleware中间件，则项目中所有的视图函数和视图类在执行过程中都要进行CSRF验证。

此时想使某个视图函数或视图类不进行CSRF验证，则可以使用csrf_exempt装饰器装饰不想进行CSRF验证的视图函数。

可以把csrf_exempt装饰器直接加在URL路由映射中，使某个视图函数不经过CSRF验证

四、csrf_protect 装饰器

在 Django 项目中，没有注册起用CsrfViewMiddleware中间件，但是想让某个视图函数进行CSRF验证，则可以使用csrf_protect装饰器。

csrf_protect 装饰器的用法跟csrf_exempt装饰器用法相同，都可以在视图函数上方装饰视图函数或者在URL路由映射中直接装饰视图函数。