如何将django csrf令牌直接嵌入到HTML中?

时间:2010-07-20 12:27:44

标签: django csrf django-csrf

在我的django应用程序中,我在数据库中存储html字符串,然后将其作为“消息”显示在用户的主页上。其中一些消息包含表单,但没有用模板语言编写,我无法插入csrf令牌(因此破坏了应用程序)。

有没有办法直接从我正在编辑的python文件中插入此标记?我正在寻找以下内容:

csrf_token = django.csrf.generate()
message = "press the button please: <form><input type='hidden' name='csrf_token' value='%s'><input type='submit' value='press here'></form>" % (csrf_token)

在类似情况下工作的任何其他解决方案都会很棒。 感谢

修改 实际上这不会起作用,因为每个会话的令牌都不同,所以将它存储在db中并不是很有用。有没有办法在视图中动态加载令牌?

3 个答案:

答案 0 :(得分:47)

致电django.middleware.csrf.get_token(request)以获取CSRF令牌。

答案 1 :(得分:25)

使用它的方式,直接在模板中使用它。

来自the documentation,:

<form action="" method="post">
{% csrf_token %}

是您必须包含的全部内容。

答案 2 :(得分:10)

接受的答案假设已在请求对象中设置了令牌。

也许这样的事情会更好:

from django.middleware import csrf
def get_or_create_csrf_token(request):
    token = request.META.get('CSRF_COOKIE', None)
    if token is None:
        token = csrf._get_new_csrf_key()
        request.META['CSRF_COOKIE'] = token
    request.META['CSRF_COOKIE_USED'] = True
    return token