django 取消csrf限制的实例
#导入包
fromdjango.views.decorators.csrfimportcsrf_exempt
#使用装饰器即可避免csrf限制
@csrf_exempt
defadd_bookshelf(request):
user_id=request.POST.get('user_id')
print(user_id)
returnHttpResponse('123')
补充知识:Django前后端分离跨域AJAX获取csrftoken及获取cookie时遇到的问题
获取CSRFTOKEN
Django的中间件'django.middleware.csrf.CsrfViewMiddleware'会将csrftoken的值设置在cookie中。在前后端不分离的项目中,若需要在AJAX使用csrftoken的值则可在js脚本中通过document.cookie直接获取cookie的值(也可以通过其他更快捷的轮子如js-cookie)。
在前后端分离的项目中(已配置django-cors-headers),无法直接使用js从cookie中获取csrfToken的值(浏览器的同源策略),即使已经成功设置了csrfToken的cookie值
解决方法
在中间件中引入
corsheaders.middleware.CorsPostCsrfMiddleware 'corsheaders.middleware.CorsMiddleware', 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'corsheaders.middleware.CorsPostCsrfMiddleware',
有些博客中使用该中间件替代django.middleware.csrf.CsrfViewMiddleware是不可行的,因为该中间件并没有期望中csrf校验的功能,下面为该中间件的源代码。
classCorsPostCsrfMiddleware(MiddlewareMixin): def_https_referer_replace_reverse(self,request): """ PuttheHTTP_REFERERbacktoitsoriginalvalueanddeletethe temporarystorage """ ifconf.CORS_REPLACE_HTTPS_REFERERand'ORIGINAL_HTTP_REFERER'inrequest.META: http_referer=request.META['ORIGINAL_HTTP_REFERER'] request.META['HTTP_REFERER']=http_referer delrequest.META['ORIGINAL_HTTP_REFERER'] defprocess_request(self,request): self._https_referer_replace_reverse(request) returnNone defprocess_view(self,request,callback,callback_args,callback_kwargs): self._https_referer_replace_reverse(request) returnNone
以上这篇django取消csrf限制的实例就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持毛票票。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。