一：csrf到底是什么：

　　csfr（cross-site request forgery）跨站请求伪造，通过伪装来自受信任用户的请求来利用受信任的网址。

　　具体步骤：

　　　　第一步：登陆正常网站，获取到cookie

　　　　第二步：在没有保存cookie的情况下登陆了黑客网站

　　　　第三步：进行一系列数据操作之后，黑客网站把受益方换作第三方账号，在向正常网站的服务器发出请求（由于携带cookie，正常网站默认合法）

二：csrf攻击防范：

　　　　在正常的网站的form表单中，加入一个隐藏的特殊字符串，后端记下该页面对应的字符串的值，等带用户post请求发过来的时候，先去校验特殊字符串是否匹配。

　　　　在html文件中：

     
      {#    加入特殊字符串的固定写法#}    {% csrf_token %}    
      
username:
    
      
password:
    
      
     

　　　　在view.py中又两种用法：

　　　　　　一种是在注释掉：'django.middleware.csrf.CsrfViewMiddleware'之后主动保护某个功能：

from django.views.decorators.csrf import csrf_exempt,csrf_protect@csrf_protectdef index2(request):    return HttpResponse('ok')

　　　　　　一种是在没有注释掉：'django.middleware.csrf.CsrfViewMiddleware'，取消某个功能的保护状态：

from django.views.decorators.csrf import csrf_exempt,csrf_protect@csrf_exemptdef index1(request):    return HttpResponse('ok')

　　需要注意的是，FBV与CBV的不同：

　　　　csrf-protect：跟正常的FBV一样

　　　　csrf-exempt：只能又下面的两种方式

from django.utils.decorators import method_decorator@method_decorator(csrf_exempt,name='dispatch')  # 第一种class Index3(View):    # @method_decorator(csrf_exempt)   # 第二种    def dispatch(self, request, *args, **kwargs):        super().dispatch(request,*args,**kwargs)    def get(self,request):        return HttpResponse('get')    def post(self,request):        return HttpResponse('post')

　　　　ps：csrf-exempt不能局部禁用，只能全局禁用。