我正在使用 Django Rest Framework 开发一个 Angular 应用程序,我想配置 CSRF 保护。但是,在向后端执行任何 POST 请求时(出于测试目的),我似乎无法触发 CSRF 违规。我目前不使用 CSRF 令牌。
我的settings.py:
MIDDLEWARE = [
'corsheaders.middleware.CorsMiddleware',
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware'
]
我将 CORS 标头配置为:
CORS_ALLOW_ALL_ORIGINS = True
我不在任何地方使用 CSRF_TRUSTED_ORIGINS。
为什么不调用 CSRF 保护?