Django 1.2 中还需要 {% csrf_token %} CSRF 保护标签吗？

发布于 2024-10-05 13:00:58 字数 290 浏览 1 评论 0 原文

我正在我的网站上测试 CSRF 保护，我发现了一些意外的情况。

我从表单中删除了 {% csrf_token %}，提交仍然有效。我不明白为什么。然后我查看了源代码，意识到令牌仍然位于

元素旁边。我更改了表单的 ID，以确保它确实更新了源代码，确实如此，但隐藏的输入仍然存在。

我正在使用 Django 1.2。 {% csrf_token %} 还需要吗？

干杯

丰富

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

前事休说 2024-10-12 13:00:58

经过更多调查后发现，如果表单具有 post 方法，则始终会插入 {% csrf_token %} ，否则不会插入。 Django 非常聪明的自动保护。

回复收藏 0 原文

郁金香雨 2024-10-12 13:00:58

从文档中：

在 Django 1.1 中，模板标签不存在。相反，使用了重新编写 POST 表单以包含 CSRF 令牌的后处理中间件。如果您要从 1.1 或更早版本升级站点，请阅读本节和升级注释如下。

http://docs.djangoproject.com/ en/dev/ref/contrib/csrf/#legacy-method