Django 如何在模板中获取csrf_token值

在本文中，我们将介绍如何在Django模板中获取csrf_token值。

阅读更多：Django 教程

什么是CSRF Token

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种常见的网络攻击方式，攻击者利用用户的登录状态来伪造用户的请求。为了防止这种攻击，Django引入了CSRF Token。

CSRF Token是一种在用户会话中生成的令牌，用于验证表单提交请求的合法性。在Django中，默认开启了CSRF保护，当用户登录后，Django会在每个生成的表单中加入一个csrf_token值，用于验证该表单是否为合法的来源。

在模板中，我们可以通过使用模板标签{% csrf_token %}来输出csrf_token值。

如何获取csrf_token值

方法一：直接在表单中使用

当我们需要在一个form表单中使用csrf_token值时，最简单的方式就是直接在表单中嵌入{% csrf_token %}模板标签，示例如下：

<form method="post">
    {% csrf_token %}
    <!-- 其他表单字段 -->
    <button type="submit">提交</button>
</form>

在上述示例中，模板标签{% csrf_token %}会在渲染模板时自动替换为对应用户会话中的csrf_token值。

方法二：手动获取

有时候，我们希望在模板中手动获取csrf_token值，比如在AJAX等特殊场景下使用。Django提供了一个全局函数get_token，可以在模板中调用该函数获取csrf_token值。示例如下：

<script type="text/javascript">
    const csrfToken = "{{ csrf_token }}";
</script>

在上述示例中，我们将csrf_token值赋给JavaScript变量csrfToken，这样就可以在前端代码中使用csrf_token值了。

如果你希望获取一个带有过期时间的csrf_token值，可以使用get_token函数的expires参数。示例如下：

<script type="text/javascript">
    const csrfToken = "{{ get_token(expires=3600) }}";
</script>

在上述示例中，expires=3600表示csrf_token的过期时间为3600秒，即1小时。你可以根据需要自行调整过期时间。

方法三：使用Ajax时的特殊处理

如果在使用Ajax时需要发送POST请求，并且需要使用csrf_token值作为请求参数，可以通过以下方式获取csrf_token值并添加到请求中。

const csrftoken = document.querySelector('[name=csrfmiddlewaretoken]').value;

// 使用fetch发送POST请求
fetch(url, {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'X-CSRFToken': csrftoken,
    },
    body: JSON.stringify(data),
})
.then(response => response.json())
.then(result => {
    // 处理请求结果
});

在上述示例中，我们通过document.querySelector('[name=csrfmiddlewaretoken]').value获取了csrftoken的值，并将其作为请求头的X-CSRFToken字段进行传递。

总结

本文介绍了在Django模板中获取csrf_token值的方法。首先，我们可以直接在表单中使用{% csrf_token %}模板标签来获取csrf_token值。其次，我们可以通过手动调用get_token函数或JavaScript变量赋值的方式来获取csrf_token值。最后，我们还介绍了在使用Ajax时如何获取并传递csrf_token值。

学会了如何获取csrf_token值，对于编写安全、防御CSRF攻击的Django应用程序是非常重要的。使用合适的方式来获取并使用csrf_token值，可以有效提升应用程序的安全性和用户体验。