django csrf原理

Django中的CSRF（Cross-Site Request Forgery）是一种对网站的恶意利用，目的是欺骗服务器接受并执行恶意请求。

为了防止这种现象，Django需要在Ajax提交时，为form表单添加一个随机字符串，以避免被恶意篡改。

具体来说，当用户在Django网站上执行某些敏感操作（例如修改或删除数据）时，网站会在表单中嵌入一个随机生成的CSRF token。

当表单被提交时，服务器会验证该token是否与预期的一致。

如果token不一致，服务器会拒绝请求并返回一个错误，从而防止了CSRF 攻击。

值得注意的是，在某些情况下，例如向其他网站发送GET请求或通过某些第三方客户端（如移动设备）发送请求时，可能无法有效地使用CSRF防护。

此时，可以配置Django的中间件来禁用CSRF 防护，例如使用`csrf_exempt`中间件可以取消当前函数防跨站请求伪造功能，即便settings中设置了全局中间件。

总之，Django的CSRF防护原理是通过在表单中嵌入随机token 并验证其一致性来防止恶意请求的执行。

在某些情况下，可能需要禁用CSRF防护以支持特定的功能或操作。