django避免csrf_token验证

  • 当网页通过自定义的post函数提交虚拟表单时,由于csrf_token的缺失,django服务器会拒绝接收这一post请求
<script>
    function post(elements) {      
        var virtual_form = document.createElement("form");  
        virtual_form.action = '';//填写需要提交的目标url,django中如果是向自己发送post请求,直接填写''      
        virtual_form.method = "post";      
        virtual_form.style.display = "none";      
        for (var x in elements) {      
            var e = document.createElement("textarea");      
            e.name = x;      
            e.value = elements[x];      
            virtual_form.appendChild(e);      
        }      
        document.body.appendChild(virtual_form);      
        virtual_form.submit();      
        return virtual_form;      
    }
</script>
  • 将所有的csrf_token验证都关闭是不安全的,因此考虑views.py文件中对单个函数关闭csrf_token验证

  • 首先在views.py里import关闭csrf_token验证的函数

from django.views.decorators.csrf import csrf_exempt
  • 在views.py文件里找到绑定提交事件的函数
def data_submit(req):
    return render(
        req,
        'data_submit.html',
    )
  • 在函数前面加上@csrf_exempt
@csrf_exempt
def data_submit(req):
    return render(
        req,
        'data_submit.html',
    )
  • 这样,对于data_submit这个函数就能免除csrf_token验证
  • 同时,对于其他函数,csrf_token验证仍然有效

你可能感兴趣的:(django,csrf,前端,后端)