django框架中ajax的使用及避开CSRF 验证的方式详解

在Django框架中，使用Ajax可以实现前端与后端的异步交互，提高用户体验，而CSRF（Cross-site request forgery，跨站请求伪造）验证是Django为了防止恶意第三方模拟用户发送请求的一种安全机制。然而，有些情况下，我们可能需要避开CSRF验证，比如在API接口或纯Ajax应用中。本文将详细介绍如何在Django中使用Ajax以及如何避免CSRF验证。 让我们了解Ajax的基本原理。Ajax全称为Asynchronous JavaScript And XML，即异步JavaScript和XML。它允许我们在不刷新整个页面的情况下，通过JavaScript向服务器发送请求并处理响应数据。这提高了网页的交互性和响应速度。在Django中，我们可以使用jQuery库来编写Ajax请求，例如： ```html <script> $(".s1").click(function(){ $.ajax({ url:"/send_ajax/", // 请求的URL type:"get", // 请求类型 data:{}, // 发送的数据 success:function(data){ $(".con").html(data) // 处理响应数据 } }) }); </script> ``` 接下来，我们来看一个简单的Django视图函数处理Ajax请求的例子： ```python from django.http import HttpResponse import json def user_valid(request): name = request.GET.get("name") ret = Author.objects.filter(name=name) res = {"state": True, "msg": ""} if ret: res["state"] = False res["msg"] = "用户存在" return HttpResponse(json.dumps(res), content_type="application/json") ``` 这个例子中，视图函数接收GET请求，检查用户名是否存在，然后返回一个JSON对象作为响应。 在Django中，CSRF验证通常通过在表单中添加`{% csrf_token %}`模板标签来实现。但当我们使用Ajax发送POST请求时，如果不想进行CSRF验证，有以下几种方法： 1. **禁用全局CSRF检查**：在settings.py中设置`CSRF_COOKIE_NAME = None`，但这并不推荐，因为这会降低整个应用的安全性。 2. **设置免验证的URL**：在`urls.py`中，对于不需要CSRF验证的视图，可以使用`@csrf_exempt`装饰器： ```python from django.views.decorators.csrf import csrf_exempt @csrf_exempt def user_valid(request): ... ``` 3. **发送CSRF token**：在Ajax请求中携带CSRF token。获取cookie中的`csrftoken`，然后将其作为POST数据的一部分发送： ```javascript function getCookie(name) { var cookieArr = document.cookie.split('; '); for (var i = 0; i < cookieArr.length; i++) { var cookiePair = cookieArr[i].split('='); if (decodeURIComponent(cookiePair[0]) === name) { return decodeURIComponent(cookiePair[1]); } } return null; } $.ajax({ url: "/user_valid/", type: "post", data: { "name": $("#user").val(), "csrfmiddlewaretoken": getCookie('csrftoken') }, success: function(data) { ... } }); ``` 在视图中，Django会自动验证这个token，如果匹配则通过验证。 4. **使用`@ensure_csrf_cookie`装饰器**：如果你的视图仅用于获取CSRF token，可以使用此装饰器创建一个HTTP GET请求，然后在Ajax请求前先获取token： ```python from django.views.decorators.csrf import ensure_csrf_cookie @ensure_csrf_cookie def get_csrf_token(request): return HttpResponse() ``` 在HTML中： ```html <script> $.get('/get_csrf_token/', function() { // 在此处发送包含CSRF token的POST请求 }); </script> ``` 总结来说，Django中使用Ajax可以提升用户体验，但同时要注意处理好CSRF验证。在不需要验证的情况下，可以通过设置URL、发送CSRF token或禁用全局检查等方式避开验证。在实际开发中，应根据具体需求和安全性考虑选择合适的方法。