一、form表单提交post请求
1,form表单提交post请求的时候在form表单中加入{% csrf_token %},即可提交post请求。
2,这样的做法实际上是在形成页面时,添加了一个input标签。
<input type="hidden" name="csrfmiddlewaretoken" value="RgjPjG77IHwdExVg4k8Fe6f6KC7aDNR7cLWrT9QaQ6b5ZbAjp356y4P3w7rpKH8w">
3,提交表单时,会将此input标签中,按name,value键值对的形式传送给后端。
4,后端通过中间件即可进行判断。
二、ajax提交post请求:【只要通过某种方式将页面中产生的cookie取出并发送到后端,及可提交post请求】
- 1,如果发送Ajax的时候,自己手动拼接一个这样的键值对,也可实现相同功效。在html页面中写入{% csrf_token %},在形成页面时,会在浏览器上形成这个标签,用jquery提取内容,一起发送给后端
实例:
【点击按钮,触发事件】
$('#b1').click(function(){
【通过name属性找到这个标签】【取值】
var CsrfToken = $("[name='csrfmiddlewaretoken']").val()
【ajax请求】
$.ajax({
url;'/jisuan/',
type:'POST',
【发送数据的时候带着这个值一起发过去】
data:{'csrfmiddlewaretoken':CsrfToken, ... 后续数据},
success:function(res){
console.log(res)
}
}
}
- 2,通过获取返回的cookie中的字符串 放置在请求头中发送。
注意:需要引入一个jquery.cookie.js插件(或者自己写一个,比较麻烦)
【ajax里加一项,从Cookie取csrftoken,并设置到请求头中】
headers: {"X-CSRFToken": $.cookie('csrftoken')}
-
3,以上两种方法每次都要设置,比较麻烦,所以还有一种比较方便的方法。在导入jQuery后,再导入另一段js代码,这段js代码的功能就是:
【每次用jquery的Ajax发送post请求的时候,都会自动加上一个请求头】
【将以下代码存入一个静态文件,引用(这就需要配置静态文件了)】
【⬇以下文件用于判断Ajax请求是不是非安全请求(post等向后端提交的请求),如果是就设置请求头】
/*
* 此文件一用于判断 ajax请求是不是非安全请求,如果是就在请求头中设置csrf_token
* */
// 定义一个从Cookie中根据name取值的方法
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
// 调用上面的方法,从cookie中取出csrftoken对应的值
var csrftoken = getCookie('csrftoken');
//
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
三、但是,如果没有form表单产生csrf_token的标签,初始就没有存到浏览器的cookie里,Ajax根本取不出来,怎么办?
如果使用从cookie中取csrftoken的方式,需要确保cookie存在csrftoken值。
如果你的视图渲染的HTML文件中没有包含 {% csrf_token %},Django可能不会设置CSRFtoken的cookie。
这个时候需要使用ensure_csrf_cookie()装饰器强制设置Cookie。
from django.views.decorators.csrf import ensure_csrf_cookie
@ensure_csrf_cookie
def login(request):
pass
