我首先将django的settings的 'django.middleware.csrf.CsrfViewMiddleware',中间件关闭django的CSRF防御系统!
那么跨域下在chrome中POST请求一个地址:'http://127.0.0.1:8000/loginSystem',返回结果是成功的!
开启django的CSRF防御中间件,再次跨域POST,收到的是403错误,被拦击!
此时我应用内部发送同一请求,仍然是403,view层加入修饰器ensure_csrf_cookie,再次请求,返回成功!
清除缓存重新实验,先用内部应用发送POST,成功,在同一浏览器里打开测试脚本,执行POST跨域请求(原理上是带着刚才成功的COOKIES),403拦击!
内部应用请求会返回:
来设置本地cookie的token。
下次请求会带着cookie:
清除缓存后,set-cookie更新!迷惑!
---------------------------------------------------------------
上文提到的脚本post没有成功的原因是没有在请求头里加入token信息,只携带cookie是不够的,加入请求头之后,请求成功!这样的话猜测就是服务器应该在接受到第一个请求成功后就更新token,而我没有设置!后续解决更新
--------------------------------------------------------------------
清除缓存后,再发请求set-cookie值改变,其实是存在本地的cookie被清除了,所带的sessionid被清空,服务器认为是新的会话,所以重建session会话,csrftoken被重置,按现在的理解,仅一个登录session内有效,新的登录session会更新它。
-------------------------------------------------------------------------------