# 導(dǎo)入包

from django.views.decorators.csrf import csrf_exempt

# 使用裝飾器即可避免csrf限制

@csrf_exemptdef add_bookshelf(request): user_id = request.POST.get(’user_id’) print(user_id) return HttpResponse(’123’)

補(bǔ)充知識(shí)：Django 前后端分離跨域AJAX獲取csrftoken及獲取cookie時(shí)遇到的問(wèn)題

獲取CSRFTOKEN

Django的中間件’django.middleware.csrf.CsrfViewMiddleware’會(huì)將csrftoken的值設(shè)置在cookie中。在前后端不分離的項(xiàng)目中，若需要在AJAX使用csrftoken的值則可在js腳本中通過(guò)document.cookie直接獲取cookie的值（也可以通過(guò)其他更快捷的輪子如js-cookie）。

在前后端分離的項(xiàng)目中（已配置django-cors-headers），無(wú)法直接使用js從cookie中獲取csrfToken的值（瀏覽器的同源策略），即使已經(jīng)成功設(shè)置了csrfToken的cookie值

解決方法

在中間件中引入

corsheaders.middleware.CorsPostCsrfMiddleware’corsheaders.middleware.CorsMiddleware’,’django.middleware.security.SecurityMiddleware’,’django.contrib.sessions.middleware.SessionMiddleware’,’django.middleware.common.CommonMiddleware’,’django.middleware.csrf.CsrfViewMiddleware’,’corsheaders.middleware.CorsPostCsrfMiddleware’,

有些博客中使用該中間件替代django.middleware.csrf.CsrfViewMiddleware是不可行的，因?yàn)樵撝虚g件并沒有期望中csrf校驗(yàn)的功能，下面為該中間件的源代碼。

class CorsPostCsrfMiddleware(MiddlewareMixin): def _https_referer_replace_reverse(self, request): ''' Put the HTTP_REFERER back to its original value and delete the temporary storage ''' if conf.CORS_REPLACE_HTTPS_REFERER and ’ORIGINAL_HTTP_REFERER’ in request.META: http_referer = request.META[’ORIGINAL_HTTP_REFERER’] request.META[’HTTP_REFERER’] = http_referer del request.META[’ORIGINAL_HTTP_REFERER’] def process_request(self, request): self._https_referer_replace_reverse(request) return None def process_view(self, request, callback, callback_args, callback_kwargs): self._https_referer_replace_reverse(request) return None

以上這篇django 取消csrf限制的實(shí)例就是小編分享給大家的全部?jī)?nèi)容了，希望能給大家一個(gè)參考，也希望大家多多支持好吧啦網(wǎng)。