Django CSRF处理

1、setting中默认在MIDDLEWARE中设置了django.middleware.csrf.CsrfViewMiddleware，官方文档建议不要把它删了。

2、GET请求（安全的操作）不要做GET之外的操作（side effect free）。POST，PUT，DELETE方法（不安全的操作），按照以下方法来做。

3、

<form>

表单后一律加上{% csrf_token %}，这样在网页加载时，会在此处生成一窜随机的序列，该序列同样存在于cookie中，提交表单的同时也会提交该序列，只有两者的序列相同时，才会执行后续操作，否则引起403 forbidden。

4、若是用Ajax在不刷新的情况下提交表单，则需要给XHttpRequest设置请求头，把csrf_token放到请求头里。获取token最简单的方法是使用jquery.cookie.js:

$.cookie('csrftoken')

。CSRF token的cookie默认就叫做csrftoken， 该名字可在setting中通过CSRF_COOKIE_NAME改变。设置请求头的方法是：

$.ajax({header: {"X-CSRFtoken": $.cookie("csrftoken")})

5、Ajax不设置请求头会导致403 forbidden。注意jquery.cookie.js的引入要在jquery.js之后。

6、尽量用render而不是render_to_response，官方文档解释：

render() is the same as a call to render_to_response() with a context_instance argument that forces the use of a RequestContext.