阅读量:5
在Django中,CSRF(Cross-Site Request Forgery)保护是默认开启的,开发者只需要按照以下步骤进行配置即可:
- 在模板中添加CSRF令牌:
在所有的表单提交页面的表单中添加CSRF令牌,可以通过{% csrf_token %}模板标签来实现,例如:
<form action="/submit/" method="post"> {% csrf_token %} <button type="submit">Submitbutton> form> - 配置中间件:
确保Django的CSRF中间件已经启用,可以在MIDDLEWARE设置中添加'django.middleware.csrf.CsrfViewMiddleware',例如:
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ] - 在视图函数中使用
@csrf_protect装饰器:
对于需要CSRF保护的视图函数,可以使用@csrf_protect装饰器来确保CSRF令牌的验证,例如:
from django.views.decorators.csrf import csrf_protect @csrf_protect def submit_form(request): if request.method == 'POST': # 处理表单提交 else: # 返回表单页面 通过以上步骤,开发者可以在Django中实现CSRF保护。
