在目前的大环境趋势下,前后端分离已经是项目开发的主流,而Django在后端领域也受到众多程序员的青睐,那么在前后端分离开发时,经常会遇到django本身内置的csrf拦截保护机制
本文将会简述如何在前后端分离时解决csrf问题。
1,
在我们使用AJAX发送POST请求时,首先要先去请求csrf的Token验证,也就是说,先提前去获取token,再去做自己的POST请求操作
那么,就需要单独编写一个函数来获取token:
//获取csrftoken
前端AJAX:
function get_csrftoken() {
return new Promise((resolve, reject)=>{
$.ajax({
url:"get_csrf_token/",
type:"GET",
success:function(data){
resolve(data);
},
error: function (err) {
console.log(err);
}
});
});
}
后端Django:
获取csrf
def get_csrf_token(request):
return JsonResponse({'csrf_token': get_token(request) or 'NOTPROVIDED'})
在自己的项目中添加这俩即可,每次在做POST请求时,记住先调用其获取token。
然后来到第二步:
2,
// 这里是一个添加用户信息为例的代码
async function insertUser() {
{#获取CSRF验证#}
let res = await get_csrftoken();
console.log(res.csrf_token);
let csrf_token = res.csrf_token;
let flag = confirm("请确认信息是否正确,无误请点确定");
if (flag) {
$.ajax({
headers: {
Accept: "application/json; charset=utf-8",
**// 这里注意,为什么要获取token,原因就是需要添加一个请求头,如下:**
"X-CSRFToken": csrf_token
},
url:"insertuser/",
type:"POST",
data:{
"select":{
"username":$("#username").val(),
"password":$("#password").val(),
"age":$("#age").val(),
"gender":$("#gender").val()
}},
success:function(data){
alert(data.data);
window.location.href = "/"
},
error: function (err) {
console.log(err);
}
})
}
}
细心的朋友可能已经发现,我使用了promise和async+await,
因为这里是两个请求,存在异步请求问题,我们必须保证优先获取到token。