django post出现403的解决办法 据说，从django1.x开始，加入了CSRF保护。

django post出现403的解决办法 据说，从django1.x开始，加入了CSRF保护。

CSRF（Cross-site request forgery跨站请求伪造，也被称成为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。-------来自百度百科
报错：Forbidden (403)
CSRF verification failed. Request aborted.Help
Reason given for failure:CSRF token missing or incorrect.
In general, this can occur when there is a genuine Cross Site Request Forgery, or when Django's CSRF mechanism has not been used correctly. For POST forms, you need to ensure:

Your browser is accepting cookies.
The view function uses RequestContext for the template, instead of Context.
In the template, there is a {% csrf_token %} template tag inside each POST form that targets an internal URL.
If you are not using CsrfViewMiddleware, then you must use csrf_protect on any views that use the csrf_token template tag, as well as those that accept the POST data.
You're seeing the help section of this page because you have DEBUG = True in your Django settings file. Change that to False, and only the initial error message will be displayed.
You can customize this page using the CSRF_FAILURE_VIEW setting.
在网上找解决办法，说是提交参数中要有csrf_token，才能成功。但网上都是1.3或者1.4版本的解决办法，在1.5版本中测试已经不能用了。

在1.5.1版本，我测试可行的解决办法有三种：
一：
关闭csrf保护功能。为视图函数添加@csrf_exempt修饰符。

from django.views.decorators.csrf import csrf_exempt@csrf_exemptdef view(request): #your code..... 当然这样不安全。


二： 在模版文件中，每个form提交域中都加上{% csrf_token %}标签，并使用render函数返回视图，或者强行使用 RequestContext 代替Context。 例： from django.shortcuts import renderdef contact(request): form = ContactForm()#这里我使用了一个django的表格 return render(request,'contact.html', {'form': form})
或者：
from django.shortcuts import render_to_responsedef contact(request): form = ContactForm()#这里我使用了一个django的表格 return render_to_response('contact.html', {'form': form}, context_instance=RequestContext(request) ) 

contact.html的内容：

Contact us

{% csrf_token %}

{{ form.subject.errors }} 工作: {{ form.subject }}

{{ form.email.errors }} 你的邮箱地址: {{ form.email }}

{{ form.message.errors }} 消息: {{ form.message }}

 
三：
方法二显然只能限制在django模版中使用，那如果我们使用javascript或者AJAX的时候呢？怎么添加csrf_token呢？

我们可以使用javascript来提取cookies中的csrf_token。

function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } 
或者这个好理解的：
function getCookie(sName){ var aCookie=document.cookie.split("; "); for(var i=0;i

AJAX中这样用： $.post(url, {"csrfmiddlewaretoken":getCookie('csrftoken')}, function (data) {alert(data);}); 
但是有一个问题，当有一个新用户访问这个页面的时候，cookie里并没有csrftoken这个值。只有进行第二种方法，才能在cookie里生成csrftoken值。解决此问题的方法随后更新。


完全可以满足简单的建站需要。