Django怎么防CSRF_模板{% csrf_token %}标签与中间件机制

Django的CsrfViewMiddleware通过比对Cookie中的csrftoken与POST数据或X-CSRFToken头的值来校验CSRF，仅对非安全方法强制校验，需置于SessionMiddleware之后，且依赖正确配置的Cookie策略与前后端token传递。

CSRF中间件怎么起作用的

Django的django.middleware.csrf.CsrfViewMiddleware在请求进来时读取csrftoken Cookie，再从POST数据或X-CSRFToken请求头里找匹配值；响应返回前会刷新Cookie（如果需要）。它默认对所有非安全方法（POST/PUT/PATCH/DELETE）强制校验，但跳过GET/HEAD/OPTIONS/TRACE。

常见错误现象：403 Forbidden + Forbidden (CSRF token missing or incorrect.)，通常是因为没传token、Cookie被浏览器拦截（比如跨域未设Samesite=None; Secure），或者中间件顺序错了——它必须在SessionMiddleware之后，否则拿不到session里的token种子。

实操建议：

• CsrfViewMiddleware不能禁用，除非你明确用@csrf_exempt标记个别视图
• 若用AJAX发POST，别只依赖模板里的{% csrf_token %}，得手动把csrftoken Cookie值塞进X-CSRFToken请求头
• 前后端分离时，后端需确保CSRF_COOKIE_SECURE和CSRF_COOKIE_SAMESITE配置与前端域名、协议一致

模板里{% csrf_token %}到底干了什么

这个标签不是“加个隐藏字段”那么简单：它先检查当前请求是否已生成CSRF token（比如通过session或签名cookie），没有就生成一个，然后输出形如<input type="hidden" name="csrfmiddlewaretoken" value="...">的HTML。值来自get_token(request)，本质是加密后的随机字符串+时间戳+session key（如果启用了session）。

使用场景：仅适用于表单提交（<form method="post">），对AJAX无直接帮助；如果你用render()返回模板，它自动生效；但用JsonResponse或纯API视图，这个标签压根不渲染。

实操建议：

• 不要在模板里重复写两次{% csrf_token %}，Django不会报错但会多一个冗余字段
• 如果表单action指向外部域名（比如支付回调页），删掉它——CSRF保护只对同源提交有效
• 自定义表单类时，别误删csrf_token上下文变量，否则{% csrf_token %}输出为空

为什么AJAX POST老是403，但表单却正常

根本原因：表单提交靠浏览器自动带上Cookie，而现代fetch或axios默认不带凭证（credentials: 'same-origin'没开），导致CsrfViewMiddleware读不到csrftoken Cookie，只能退而求其次查X-CSRFToken头——但前端没设。

AITDK

免费AI SEO工具，SEO的AI生成器

下载

性能影响：每次AJAX请求都得额外读一次Cookie再解析，开销极小；但若频繁跨域且没配好Samesite，token可能根本送不到后端。

实操建议：

• 前端JS里用document.cookie.match(/(?:^|; )csrftoken=([^;]*)/)取值，再塞进headers: {'X-CSRFToken': token}
• 避免用localStorage存token——它不随请求自动发送，还得手动补头，且有XSS泄露风险
• 如果用Django REST Framework，SessionAuthentication会自动处理CSRF，但TokenAuthentication不会，得自己加逻辑

哪些情况可以跳过CSRF校验

CSRF防护只针对状态变更请求，且前提是攻击者能诱导用户发起请求。静态资源、只读API、Webhook接收端、内部服务调用，都不需要它。

容易踩的坑：@csrf_exempt是全局关开关，哪怕只对某个path开放，也会让整个视图函数裸奔；更安全的做法是用@csrf_protect显式包住需要校验的分支，其余放行。

实操建议：

• Webhook接口（比如GitHub、Stripe回调）必须@csrf_exempt，因为调用方不可能带你的CSRF token
• 用django.views.decorators.csrf.ensure_csrf_cookie只为发Cookie，不校验请求，适合单页应用首次加载
• 测试环境慎用CSRF_COOKIE_HTTPONLY = False，否则JS取不到token，但生产环境必须为True防XSS窃取