CSRF a. CSRF原理 b. 无CSRF时存在隐患 c. Form提交(CSRF) d. Ajax提交(CSRF) CSRF请求头 x-CSRFToken HTTP_X_CSRFToken django自动加的HTTP 中间件 django.middleware.csrf.CsrfViewMiddleware 局部: @csrf_protect 需要csrf认证 不需要在setting里添加django.middleware.csrf.CsrfViewMiddleware @csrf_exempt 不需要csrf认证 全局设置 局部设置 django.middleware.csrf.CsrfViewMiddleware 在views.py里 from django.views.decorators.csrf import csrf_exempt, csrf_protect @csrf_exempt def index(request): pass 在form表单下面添加 {% csrf_token %} 如果是以ajax提交方式 $(function(){ $.ajaxSetup({ #GET HEAD OPTIONS TRACE 四种是不需要加csrftoken的 在这前需要做个判断 beforeSend: function(xhr,settings){ xhr.setRequestHeader('X-CSRFtoken', $.cookie('csrftoken')); } }); $('#btn').click(function () { $.ajax({ url: '/login/', type:"GET", data: {'user': 'root', 'pwd': '123'}, // headers: {'X-CSRFtoken': $.cookie('csrftoken')}, success:function(arg){ } }) }); })