1.csrf原理

csrf要求发送post,put或delete请求的时候，是先以get方式发送请求，服务端响应时会分配一个随机字符串给客户端，客户端第二次发送post,put或delete请求时携带上次分配的随机字符串到服务端进行校验

2.Django中的CSRF中间件

首先，我们知道Django中间件作用于整个项目。

在一个项目中，如果想对全局所有视图函数或视图类起作用时，就可以在中间件中实现，比如想实现用户登录判断，基于用户的权限管理（RBAC）等都可以在Django中间件中来进行操作

Django内置了很多中间件,其中之一就是CSRF中间件

MIDDLEWARE_CLASSES = [     'django.middleware.security.SecurityMiddleware',     'django.contrib.sessions.middleware.SessionMiddleware',     'django.middleware.common.CommonMiddleware',     'django.middleware.csrf.CsrfViewMiddleware',     'django.contrib.auth.middleware.AuthenticationMiddleware',     'django.contrib.auth.middleware.SessionAuthenticationMiddleware',     'django.contrib.messages.middleware.MessageMiddleware',     'django.middleware.clickjacking.XFrameOptionsMiddleware', ]

上面第四个就是Django内置的CSRF中间件

3.Django中间件的执行流程

Django中间件中最多可以定义5个方法

process_request process_response process_view process_exception process_template_response

Django中间件的执行顺序

1.请求进入到Django后，会按中间件的注册顺序执行每个中间件中的process_request方法     如果所有的中间件的process_request方法都没有定义return语句，则进入路由映射，进行url匹配     否则直接执行return语句，返回响应给客户端 2.依次按顺序执行中间件中的process_view方法     如果某个中间件的process_view方法没有return语句，则根据第1步中匹配到的URL执行对应的视图函数或视图类     如果某个中间件的process_view方法中定义了return语句，则后面的视图函数或视图类不会执行,程序会直接返回 3.视图函数或视图类执行完成之后，会按照中间件的注册顺序逆序执行中间件中的process_response方法     如果中间件中定义了return语句，程序会正常执行，把视图函数或视图类的执行结果返回给客户端     否则程序会抛出异常 4.程序在视图函数或视图类的正常执行过程中     如果出现异常，则会执行按顺序执行中间件中的process_exception方法     否则process_exception方法不会执行     如果某个中间件的process_exception方法中定义了return语句，则后面的中间件中的process_exception方法不会继续执行了 5.如果视图函数或视图类中使用render方法来向客户端返回数据，则会触发中间件中的process_template_response方法

4.Django CSRF中间件的源码解析

Django CSRF中间件的源码

class CsrfViewMiddleware(MiddlewareMixin):      def _accept(self, request):         request.csrf_processing_done = True         return None      def _reject(self, request, reason):         logger.warning(             'Forbidden (%s): %s', reason, request.path,             extra={                 'status_code': 403,                 'request': request,             }         )         return _get_failure_view()(request, reason=reason)      def _get_token(self, request):         if settings.CSRF_USE_SESSIONS:             try:                 return request.session.get(CSRF_SESSION_KEY)             except AttributeError:                 raise ImproperlyConfigured(                     'CSRF_USE_SESSIONS is enabled, but request.session is not '                     'set. SessionMiddleware must appear before CsrfViewMiddleware '                     'in MIDDLEWARE%s.' % ('_CLASSES' if settings.MIDDLEWARE is None else '')                 )         else:             try:                 cookie_token = request.COOKIES[settings.CSRF_COOKIE_NAME]             except KeyError:                 
                        
关键字：