1.CSRF介绍

跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。
这里推荐一篇文章，个人感觉写的不错：Python中csrf攻击与防御

2.解决csrf的问题/csrf豁免

csrf豁免有三种方式，如下：
创建子路由：

url(r'^testCsrf/',views.testCsrf),

生成视图函数：

def testCsrf(request):
    return HttpResponse('testCsrf')

使用postman，进行操作

（1）注释中间件
在settings中找到MIDDLEWARE，注释掉：‘django.middleware.csrf.CsrfViewMiddleware’，即可成功

注意：如果注释，所有的csrf都避过了post请求

（2）在方法上添加 @csrf_exempt

@csrf_exempt
def testCsrf(request):
    return HttpResponse('testCsrf')

运行结果：

（3）在表单中添加{%csrf_token%}

def testCsrf(request):
    if request.method == 'GET':
        return render(request,'testCsrf.html')
    elif request.method == 'POST':
        return HttpResponse('testCsrf')

创建testCsrf.html模板：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="/sess/testCsrf/" method="post">
        {% csrf_token %}
        <button>提交</button>
    </form>
</body>
</html>

运行结果：
点击前：

点击后：

实现机制：
　　页面中存在{% csrf_token %}时
　　在渲染的时候，会向Response中添加 csrftoken的Cookie
　　在提交的时候，会被添加到请求体中， 会被验证有效性