1 ) Django中默认打开csrf中间件。settings.py文件中:
MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', # django默认启用了csrf防护,只针对post提交 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.auth.middleware.SessionAuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', 'django.middleware.security.SecurityMiddleware', )2 ) 表单post提交数据时加上{% csrf_token %}标签。
1 ) 渲染模板文件时在页面生成一个名字叫做csrfmiddlewaretoken的隐藏域。 2 ) 服务器交给浏览器保存一个名字为csrftoken的cookie信息。 3 ) 提交表单时,两个值都会发给服务器,服务器进行比对,如果一样,则csrf验证通过,否则失败。
