django前后端分离csrf验证的解决方法

django前后端分离csrf的解决方法

更多内容请查看 Django 防御 csrf 攻击的方式（包括ajax请求)

第一种方式ensure_csrf_cookie

• 这种方方式使用ensure_csrf_cookie 装饰器实现，且前端页面由浏览器发送视图请求，在视图中使用render渲染模板，响应给前端，此时这个渲染模板的视图函数上要加上这个装饰器
• 这种方式保证了模板返回时，前端接收到的响应中有csrftoken这个cookie，方法见代码。
• 以上方法并没有严格意义的前后分离，如果模板中有form表单，可以直接在模板中添加{% csrf_token %}。

第二种方式

• 前后完全分离，前端页面直接通过获取静态文件得到，然后直接发送ajax请求，得到csrftoken，此时需要一个视图函数来返回token值

def get_token(request):
	token = django.middleware.csrf.get_token(request)
	return JsonResponse({'token': token})

• 如此即可在浏览器将token值保存在cookie中，然后通过第一种方式中取得cookie的方法获取cookie。

发送ajax请求

• 以上方式得到csrftoken后，需要将其添加到请求头中，方法见代码
• 此时，csrf验证不再成为阻碍