在我的django应用程序中,我在数据库中存储html字符串,然后将其作为“消息”显示在用户的主页上。其中一些消息包含表单,但没有用模板语言编写,我无法插入csrf令牌(因此破坏了应用程序)。
有没有办法直接从我正在编辑的python文件中插入此标记?我正在寻找以下内容:
csrf_token = django.csrf.generate()
message = "press the button please: <form><input type='hidden' name='csrf_token' value='%s'><input type='submit' value='press here'></form>" % (csrf_token)
在类似情况下工作的任何其他解决方案都会很棒。 感谢
修改 实际上这不会起作用,因为每个会话的令牌都不同,所以将它存储在db中并不是很有用。有没有办法在视图中动态加载令牌?
答案 0 :(得分:47)
致电django.middleware.csrf.get_token(request)
以获取CSRF令牌。
答案 1 :(得分:25)
使用它的方式,是直接在模板中使用它。
<form action="" method="post">
{% csrf_token %}
是您必须包含的全部内容。
答案 2 :(得分:10)
接受的答案假设已在请求对象中设置了令牌。
也许这样的事情会更好:
from django.middleware import csrf
def get_or_create_csrf_token(request):
token = request.META.get('CSRF_COOKIE', None)
if token is None:
token = csrf._get_new_csrf_key()
request.META['CSRF_COOKIE'] = token
request.META['CSRF_COOKIE_USED'] = True
return token