本文章内容:dango下的跨站请求设置
全局:
中间件 django.middleware.csrf.CsrfViewMiddleware
局部(调用装饰器):
前提:from django.views.decorators.csrf import csrf_exempt,csrf_protect
- @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件。
- @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
应用
1、普通表单
veiw中设置返回值:
return
render_to_response(
'Account/Login.html'
,data,context_instance
=
RequestContext(request))
html中设置Token:
{
%
csrf_token
%
}
2、Ajax
对于传统的form,可以通过表单的方式将token再次发送到服务端,而对于ajax的话,使用如下方式。
from
django.template.context
import
RequestContext #import函数
# Create your views here.
def
test(request):
if
request.method
=
=
'POST'
:
print
request.POST
return
HttpResponse(
'ok'
)
return
render_to_response(
'app01/test.html'
,context_instance
=
RequestContext(request))
或者使用render(),它是默认调用RequestContext功能,可在源码获知。
以上是views配置。
模板配置:
<!DOCTYPE html>
<html>
<head lang
=
"en"
>
<meta charset
=
"UTF-8"
>
<title><
/
title>
<
/
head>
<body>
{
%
csrf_token
%
}
<
input
type
=
"button"
onclick
=
"Do();"
value
=
"Do it"
/
>
<script src
=
"/static/plugin/jquery/jquery-1.8.0.js"
><
/
script>
<script src
=
"/static/plugin/jquery/jquery.cookie.js"
><
/
script>
<script
type
=
"text/javascript"
>
var csrftoken
=
$.cookie(
'csrftoken'
);
function csrfSafeMethod(method) {
/
/
these HTTP methods do
not
require CSRF protection
return
(
/
^(GET|HEAD|OPTIONS|TRACE)$
/
.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if
(!csrfSafeMethod(settings.
type
) && !this.crossDomain) {
xhr.setRequestHeader(
"X-CSRFToken"
, csrftoken);
}
}
});
function Do(){
$.ajax({
url:
"/app01/test/"
,
data:{
id
:
1
},
type
:
'POST'
,
success:function(data){
console.log(data);
}
});
}
<
/
script>
<
/
body>
<
/
html>
标红部分为必填!
更多:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax