在Django中,CSRF(Cross-Site Request Forgery)保护是默认开启的,开发者只需要按照以下步骤进行配置即可:
在模板中添加CSRF令牌:在所有的表单提交页面的表单中添加CSRF令牌,可以通过{% csrf_token %}模板标签来实现,例如:
<form action="/submit/" method="post"> {% csrf_token %} <!-- other form fields --> <button type="submit">Submit</button></form>确保Django的CSRF中间件已经启用,可以在MIDDLEWARE设置中添加'django.middleware.csrf.CsrfViewMiddleware',例如:
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware',]@csrf_protect装饰器:对于需要CSRF保护的视图函数,可以使用@csrf_protect装饰器来确保CSRF令牌的验证,例如:
from django.views.decorators.csrf import csrf_protect@csrf_protectdef submit_form(request): if request.method == 'POST': # 处理表单提交 else: # 返回表单页面通过以上步骤,开发者可以在Django中实现CSRF保护。
