一、什么是CSRF

    CSRF, Cross Site Request Forgery, 跨站伪造请求。举例来讲，某个恶意的网站上有一个指向你的网站的链接，如果某个用户已经登录到你的网站上了，那么当这个用户点击这个恶意网站上的那个链接时，就会向你的网站发来一个请求，你的网站会以为这个请求是用户自己发来的，其实呢，这个请求是那个恶意网站伪造的。

    Django为用户实现跨站请求伪造保护的功能，通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局设置和局部设置。

二、Django提供CSRF防护机制

    Django第一次响应某个客户端的请求时，会在服务器端随机生成一个token，然后把这个token放到cookie中返回给客户端。然后客户端每次POST请求时都会带上这个token，这样就避免了CSRF攻击。

• 在返回的HTTP响应的cookie中，Django会添加一个csrftoken字段，值为随机生成的token

• 在POST表单中，必须包含一个csrfmiddlewaretoken隐藏字段，需要在模板中添加{% csrf_token %}自动生成

• 在处理POST请求之前，Django会验证cookie中csrftoken和表单中csrfmiddlewaretoken的值是否一致。如果一致，则表明这是一个合法请求。否则这个请求就是伪造的，返回403 Forbidden。

• 在Ajax POST请求中，添加一个"X-CSRFToken"头部，值为cookie中的csrftoken的值。

  
  

三、CSRF设置

1. 全局设置（中间件）

2. 局部设置（视图函数）

四、应用CSRF

1. 前端Form表单中设置CSRF

2. 自动在每个Ajax请求头部中添加"X-CSRFToken"

3. 单独在Ajax请求中设置"X-CSRFToken"头部