1.Django CSRF的原理

CSRF（Cross Site Request Forgery）也就是跨站请求伪造，实现的原理是CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的；

创新互联网络公司拥有十载的成都网站开发建设经验，1000+客户的共同信赖。提供网站设计制作、成都网站设计、网站开发、网站定制、买友情链接、建网站、网站搭建、响应式网站建设、网页设计师打造企业风格，提供周到的售前咨询和贴心的售后服务

2.CSRF认证

• 在项目的settings文件中有一个配置项MIDDLEWARE，表示默认Django启用csrf认证；

'django.middleware.csrf.CsrfViewMiddleware'

• 当页面为form表单提交时，一般都需要在form标签中加上 {% csrf_token %} ，如果第一次表单提交的时候带上了 csrf_token ，服务器端就会认为这个是可信任的用户，所以如果第二次提交时form表单去掉 csrf_token ，但是浏览器请求时会带上之前表单第一次提交时中的 csrf_token ，服务器端默认信任这个 csrf_token ；

{#  #}
    
    
    {% csrf_token %}

• 如果在settings文件中将csrf的中间件注释，那么form表单提交，将不再需要csrf token认证；

3.CSRF局部禁用

• 为了避免没有csrf token而产生的403的forbidden错误问题，通常使用 django.views.decorators.csrf.csrf_exempt 装饰器来修饰这个处理POST请求的View, 这种方式是CSRF局部禁用；

from django.views.generic import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_exempt
class CSRFTestView(View):
    @method_decorator(csrf_exempt)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request, *args, **kwargs)
    def post(self, request):
        pass

• 局部启用可以使用 csrf_protect ，需要先在settings文件注释 CsrfViewMiddleware ；

from django.views.generic import View
from django.utils.decorators import method_decorator
from django.views.decorators.csrf import csrf_protect
class CSRFTestView(View):
    @method_decorator(csrf_protect)
    def dispatch(self, request, *args, **kwargs):
        return super().dispatch(request, *args, **kwargs)
    def post(self, request):
        pass

• 如果需要禁用Django CSRF功能项目都是启用全局的CSRF中间件，针对局部的View进行禁用；

4.Postman

Postman是一种网页调试与发送网页http请求的chrome插件，可以用来很方便的模拟get、post、put、patch、delete、copy等多种方式的请求来调试接口；
postman可用作macOS，Windows和Linux操作系统的本机应用程序。Windows系统下安装postman只需要下载安装文件，然后运行安装程序就可以了；

Postman的下载地址 ： https://www.getpostman.com/downloads/

参考： https://www.9xkd.com/user/plan-view.html?id=1091380484

分享名称：Django启用和禁用CSRF功能-创新互联
网站链接：http://mzwzsj.com/article/djocss.html