我认为DRF中默认所有POST, PUT, DELETE个请求都受到CSRF保护,但我在一些教程视频中看到,他们在大约class-based个视图中使用@method_decorator(csrf_protect)来执行Post和RST请求,所以我也这样做了.
但现在我在想,当这些请求默认受CSRF保护时,这样做的目的是什么?
@method_decorator(csrf_protect, name='dispatch')
class LogoutView(APIView):
def post(self, request, format=None):
try:
auth.logout(request)
return Response({'success': 'Logged out.'})
except Exception as e:
print(e)
return Response({'error': 'Something went wrong.'})
是的,Post请求通常会受到CSRF伪造的保护.但这不是Django本身,而是CsrfViewMiddleware [Django-doc]人.因此,该中间件应该位于MIDDLEWARE setting [Django-doc]中,默认情况下,它应该位于is中.但您可以删除中间件,例如,如果您不想默认保护它.在这种情况下,您只能使用@csrf_protect decorator [Django-doc]来仅对特定视图集执行此操作.
换句话说,您可以 Select 将CsrfViewMiddleware添加到MIDDLEWARE设置中(对于新的Django项目来说,确实如此),然后默认所有视图都受到CSRF保护,除非您用@csrf_exempt decorator [Django-doc]指定此,或者您可以remove中间件,并且仅将certain视图标记为CSRF保护.
禁用CSRF对于API来说很常见,因为这些通常不适用于cookie.因此,如果您制作了一个Django应用程序,例如将为React或Vue应用程序提供服务,那么删除CsrfViewMiddleware的情况并不罕见.