django跨站请求伪造（csrf）解决方法

我们写一个简单的前端网页

    
    


    

        用户名
        旧电话
        新电话
        
    

再写相应的视图函数

def updatepwd(request):
    from user.models import UserInfo
    if request.method=='GET':
        return render(request,'updatepwd.html')
    else:
        username=request.POST.get('username')
        oldpho=request.POST.get('oldpho')
        newpho=request.POST.get('newpho')
        try:
            data=UserInfo.objects.get(name=username,phone=oldpho)
            print(data)
        except:
            return HttpResponse('错误')
        else:
            # user=UserInfo()
            # user.phone=newpho
            # user.save()
            UserInfo.objects.update(
                phone=newpho
            )
        return HttpResponse('ok')

写好URL开启后端服务器
浏览器访问此页面，可以正常访问

填入数据提交，遇到了这个报错

这是因为第一次访问是get请求，第二次是post请求需要发送数据，而django自带防御跨站请求伪造组织这次请求，有两种解决方式。
第一种在前端代码中加入{%csrf_token%}
第二种在setting.py文件中关闭CSRF防御，如下代码注释掉此中间件

MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

注意第二种方法一般只用于调试。