Django 如何让ajax的POST方法带上CSRF令牌

时间 2019-11-08

标签 django 如何 ajax post 方法带上 csrf 栏目 Python 繁體版

原文原文链接

问题

你们知道，在大前端领域，有一种叫作ajax的东东，即“Asynchronous Javascript And XML”（异步 JavaScript 和 XML），它被用来在不刷新页面的状况下，提交和请求数据。当没有<form>元素时，也就是若是Django服务器接收的是一个经过ajax发送过来的POST请求的话，那么将很麻烦，何也？由于只要有<form>元素就能够直接携带{% csrf_token %}令牌，可是，在没有<form>元素状况下，ajax没办法像<form>元素那样携带{% csrf_token %}令牌。那怎么办呢？好办！html

方法一（用在js文件中）

在你的前端模版的JavaScript代码处，添加下面的代码：前端

/****************** BEGIN ******************/
// 官方提供的js文件ajax携带CSRF令牌的方法(使用jQuery库)，参考官网https://docs.djangoproject.com/zh-hans/2.0/ref/csrf/

//***** 第一步：获取CSRF令牌 *****//
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

//***** 第二步：在ajax请求上设置CSRF令牌 *****// function csrfSafeMethod(method) {
    // 这些HTTP方法不要求携带CSRF令牌。test()是js正则表达式方法，若模板匹配成功，则返回true
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});
/****************** END ******************/

上面代码的做用就是让你的ajax的POST方法带上CSRF须要的令牌，它依赖jQuery库，必须提早加载jQuery。这也是Django官方提供的解决方案，请参考。ajax

方法二（用在HTML文件中）

简单快捷的解决办法，示例以下。正则表达式

$.ajax({
    type: "POST",       // POST方法
    url: "{% url 'oper:course_add_comment' %}",     // 处理请求的url
    data: {'course_id': {{ course_id }}, 'comment': comment},
    async: true,
    cache: false,
    beforeSend: function (xhr, settings) {
        xhr.setRequestHeader("X-CSRFToken", "{{ csrf_token }}");    // 重点是这里! 注意{{ csrf_token }}必须加上引号!
    },
    success: function (data) {          // 请求成功后，视图传回的数据
        if (data.status == 'fail') {
            if (data.msg == '用户未登陆') {
                alert("您还未登陆，不能评论！点击右上角登陆按钮进行登陆。");
            } else {
                alert(data.msg)
            }

        } else if (data.status == 'success') {
            alert(data.msg);
            location.reload();         // 刷新当前页面
        }
    },
});

　　至此，转载请注明出处。django

[ 本站相关连接：>>Django部署 ]服务器