是否有必要在 GET 查询中添加{% csrf_token %}
?
如果我在GET中添加,则链接开始保持csrf_token ?csrfmiddlewaretoken=
答案 0 :(得分:2)
来自django docs:
针对CSRF攻击的第一道防线是确保GET请求(以及9.1.1安全方法,HTTP 1.1,RFC 2616#section-9.1.1中定义的其他“安全”方法)是无副作用的。然后,可以通过以下步骤保护通过“不安全”方法(例如POST,PUT和DELETE)的请求。
因此,如果你的GET请求没有任何副作用,你不需要来包含CSRF令牌。