Django安全认证机制CSRF

什么是跨域?

跨域：指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的，是浏览器对javascript施加的安全限制。
例如：a页面想获取b页面资源，如果a、b页面的协议、域名、端口、子域名不同，所进行的访问行动都是跨域的，而浏览器为了安全问题一般都限制了跨域访问，也就是不允许跨域请求资源。注意：跨域限制访问，其实是浏览器的限制。理解这一点很重要！！！
同源策略：是指协议，域名，端口都要相同，其中有一个不同都会产生跨域；

@csrf_exempt

当您通过表单发出请求时，您希望提交给您视图的表单来自您的网站，而不是来自其他域。为了确保发生这种情况，您可以在表单中放置一个csrf令牌，以便您的视图能够识别。如果添加@csrf_exempt放在视图的顶部，那么基本上就是在告诉视图它不需要令牌

标识一个视图可以被跨域访问
方法一：在类的 dispatch 方法上使用 @csrf_exempt，必须继承DRF的apiview

from django.views.decorators.csrf import csrf_exempt
class MyView(View):
    def get(self, request):
        return HttpResponse("hi")
    def post(self, request):
        return HttpResponse("hi")
    @csrf_exempt
    def dispatch(self, *args, **kwargs):
        return super(MyView, self).dispatch(*args, **kwargs)

方法二：在 urls.py 中配置

from django.conf.urls import url
from django.views.decorators.csrf import csrf_exempt
import views
urlpatterns = [
    url(r'^myview/$', csrf_exempt(views.MyView.as_view()), name='myview'),
]

方法三：普通的视图函数

#获取微信返回的code信息

from django.views.decorators.csrf import csrf_exempt
@csrf_exempt

def wechat_auth(req):
  if req.method == 'POST':
    code = req.POST.get('code')
    data_info = get_access_token_info(code)
    return JsonResponse({'message': data_info, "status": '1'})
    return JsonResponse({'message': '扫码失败，请刷新重试!',"status": 0})