django环境搭建

不再赘述，网上有的是

开始撸请求

views中并没有写死到底是接收post还是get，我们可以自己进行判断，如不判断，都可以接收
如下：

@csrf_exempt
def testapi(request):
    resp = {'code':10000,'msg':'success','data':{}}
    time.sleep(5)
    return HttpResponse(json.dumps(resp),content_type='application/json')

get请求返回如下：

post请求返回如下：

跨站问题

用postman等进行请求时，会报403
解决方案如下：
1、由于我们的是测试接口，所以直接添加装饰器csrf_exempt，不进行跨站检测即可

from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def testapi(request):
    resp = {'code':10000,'msg':'success','data':{}}
    time.sleep(5)
    return HttpResponse(json.dumps(resp),content_type='application/json')

2、注释掉settings.py中的csrf部分，如下：

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

此方法不可取，会导致整个项目面临跨站攻击的风险

3、在模版文件中添加csrf {% csrf_token %}，如下：

<body>
    <h1>尚未登录，请登录：</h1>
    <form action="" method="POST">
        {% csrf_token %}
        用户名：<input type="text" name="username" /><br />
        密码：<input type="password" name="password" /><br />
        <input type="submit" value="登录" name="login"/>
        <a href="/reg/">注册</a>
    </form>
</body>

此方法用postman等工具访问时，就会报403

4、较优方法，目前没太搞懂
django的csrf安全工作顺序是：先从后台获取csrf_token 并发送给前端，然后前端在进行form表单提交时，把带有名为csrfmiddlewaretoken，值为 csrf_token 的字段一起发送给后端进行校验。

所以此解决方案便是按照此逻辑，先通过一个接口获取 csrf_token，然后在form表单中一起提交给后端校验

from django.template.context_processors import csrf

def get_csrf(request):
        #生成 csrf 数据，发送给前端
    x = csrf(request)
    csrf_token = x['csrf_token']
    return HttpResponse('{} ; {}'.format(str(re), csrf_token))

然后在另一个POST请求中 加参数 名为：csrfmiddlewaretoken 值为 get_csrf函数返回的csrf_token ,这样校验便成功