在Django中,CSRF(Cross-Site Request Forgery)保护是默认开启的,开发者只需要按照以下步骤进行配置即可:
在所有的表单提交页面的表单中添加CSRF令牌,可以通过{% csrf_token %}模板标签来实现,例如:
<form action="/submit/" method="post">
{% csrf_token %}
<!-- other form fields -->
<button type="submit">Submit</button>
</form>
确保Django的CSRF中间件已经启用,可以在MIDDLEWARE设置中添加'django.middleware.csrf.CsrfViewMiddleware',例如:
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
@csrf_protect装饰器:对于需要CSRF保护的视图函数,可以使用@csrf_protect装饰器来确保CSRF令牌的验证,例如:
from django.views.decorators.csrf import csrf_protect
@csrf_protect
def submit_form(request):
if request.method == 'POST':
# 处理表单提交
else:
# 返回表单页面
通过以上步骤,开发者可以在Django中实现CSRF保护。
