我可以知道在哪里可以使用Django csrf_exempt。在我目前的应用程序中,我见过许多程序员使用过csrf_exempt的地方。我怀疑可能存在安全漏洞。因此,如果我能够理解不同的用例,那将会很有帮助。
答案 0 :(得分:1)
如果您无法在请求中设置csrftoken cookie,则可以使用csrf_exempt。如果您接受来自跨域的请求,那将非常有用。
答案 1 :(得分:1)
这取决于您的控制器的功能。你应该有一些中间件或信号方法来验证你的请求。如果您的控制器正在将原始数据写入数据库,则应该避免使用csrf_exempt,除非您的网址是针对某些webhook打开的。对于REST apis,您可以使用CORS HEADER而不是csrf_exempt(尽管在您的REST公开时它有一些限制)