CSRF（Cross Site Request Forgery, 跨站域請(qǐng)求偽造）是一種網(wǎng)絡(luò)的×××方式。

我的理解是，比如你訪問過招商銀行的網(wǎng)站并登陸之后，你的cookie信息暫時(shí)不會(huì)失效，

這時(shí)，hacker通過各種方式誘導(dǎo)你訪問他給你提供的網(wǎng)站等鏈接，讓你在同一瀏覽器訪問

hacker給你的網(wǎng)站時(shí)，那么他給你提供的網(wǎng)站里面有直接有向招商銀行提交轉(zhuǎn)賬信息的請(qǐng)求，這時(shí)，

這個(gè)轉(zhuǎn)賬請(qǐng)求會(huì)借用你剛剛登陸過招商銀行的cookie信息，來使用的你的身份進(jìn)行合法的轉(zhuǎn)賬。

那么為了減少這個(gè)情況的發(fā)生，在客戶端與服務(wù)端交互的時(shí)候，當(dāng)客戶端瀏覽器第一次訪問cookie的時(shí)候，服務(wù)端會(huì)有基于csrf的隨機(jī)驗(yàn)證字符串生成，然后把這些字符串寫到客戶端cookie里，同時(shí)服務(wù)端在session里保存一份，當(dāng)客戶端瀏覽器再次發(fā)來post請(qǐng)求的時(shí)候，服務(wù)端會(huì)驗(yàn)證cookie里csrf_token（就是生成的這個(gè)隨機(jī)字符串）。

Django里自動(dòng)幫我們封裝了這個(gè)功能，在Django項(xiàng)目里的setting.py文件里會(huì)默認(rèn)開啟 'django.middleware.csrf.CsrfViewMiddleware' ,這一項(xiàng)功能。

所以我們html文件里有post請(qǐng)求的時(shí)候要在from表單里添加{% csrf_token %}這一項(xiàng)

            
            
            

              

                
 {% csrf_token %}
      
                
                
                
              
            
          

但是有的時(shí)候是不需要 csrf_token 認(rèn)證的，有的時(shí)候是需要的，但是Django項(xiàng)目里的setting.py文件里設(shè)置了 'django.middleware.csrf.CsrfViewMiddleware' 之后就是全局生效了；這就 不是我們所需要的了。

那么如果有的函數(shù)不需要csrf_token 認(rèn)證的話，那么就需要用到@csrf_exempt裝飾器來設(shè)置單個(gè)函數(shù)不用csrf_token 認(rèn)證

            
from django.views.decorators.csrf import csrf_exempt,csrf_protect
          

@csrf_exempt 是不需要設(shè)置csrf_token認(rèn)證的

@csrf_protect 是 需要設(shè)置csrf_token 認(rèn)證的

以上就是本文的全部內(nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。