CSRF(Cross Site Request Forgery, 跨站域請求僞造)是一種網絡的×××方式。
我的理解是,比如你訪問過招商銀行的網站並登陸之後,你的cookie信息暫時不會失效,
這時,×××通過各種方式誘導你訪問他給你提供的網站等鏈接,讓你在同一瀏覽器訪問
×××給你的網站時,那麼他給你提供的網站裏面有直接有向招商銀行提交轉賬信息的請求,這時,
這個轉賬請求會借用你剛剛登陸過招商銀行的cookie信息,來使用的你的身份進行合法的轉賬。
那麼爲了減少這個情況的發生,在客戶端與服務端交互的時候,當客戶端瀏覽器第一次訪問cookie的時候,服務端會有基於csrf的隨機驗證字符串生成,然後把這些字符串寫到客戶端cookie裏,同時服務端在session裏保存一份,當客戶端瀏覽器再次發來post請求的時候,服務端會驗證cookie裏csrf_token(就是生成的這個隨機字符串)。
Django裏自動幫我們封裝了這個功能,在Django項目裏的setting.py文件裏會默認開啓'django.middleware.csrf.CsrfViewMiddleware',這一項功能。
所以我們html文件裏有post請求的時候要在from表單裏添加{% csrf_token %}這一項
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<div>
<form action="/app01/login/" method="post">
{% csrf_token %}
<input type="text" name="username">
<input type="password" name="pwd">
<input type="submit" value="提交">
</form>
</div>
</body>
</html>但是有的時候是不需要 csrf_token 認證的,有的時候是需要的,但是Django項目裏的setting.py文件裏設置了'django.middleware.csrf.CsrfViewMiddleware'之後就是全局生效了;這就 不是我們所需要的了。
那麼如果有的函數不需要csrf_token 認證的話,那麼就需要用到@csrf_exempt裝飾器來設置單個函數不用csrf_token 認證
from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt是不需要設置csrf_token認證的
@csrf_protect是 需要設置csrf_token 認證的