1、setting中默认在MIDDLEWARE中设置了django.middleware.csrf.CsrfViewMiddleware,官方文档建议不要把它删了。
2、GET请求(安全的操作)不要做GET之外的操作(side effect free)。POST,PUT,DELETE方法(不安全的操作),按照以下方法来做。
3、<form>
表单后一律加上{% csrf_token %},这样在网页加载时,会在此处生成一窜随机的序列,该序列同样存在于cookie中,提交表单的同时也会提交该序列,只有两者的序列相同时,才会执行后续操作,否则引起403 forbidden。
4、若是用Ajax在不刷新的情况下提交表单,则需要给XHttpRequest设置请求头,把csrf_token放到请求头里。获取token最简单的方法是使用jquery.cookie.js: $.cookie('csrftoken')
。CSRF token的cookie默认就叫做csrftoken, 该名字可在setting中通过CSRF_COOKIE_NAME改变。设置请求头的方法是:
$.ajax({header: {"X-CSRFtoken": $.cookie("csrftoken")})
。