我是 Django 和 csrf 令牌的新手,所以这是一个全新的问题。我在 detail.html 上有一个简单的复选标记框:
<form action="/results/" method="post">{% csrf_token %}
<input type="checkbox" value="1" name="artists">
<p><input type="submit" value="Send" /></p>
</form>
results.html 看起来像这样:
<ul>
{% for choice in poll %}
<li>{{ choice }} </li>
{% endfor %}
</ul>
view.py 看起来像这样:
from django.shortcuts import render_to_response
from django.core.context_processors import csrf
def handle(request):
artists = {}
c = {}
c.update(csrf(request))
if request.method == 'POST':
artists = request.POST.getlist('artists')
return render_to_response('polls/results.html', {'poll': artists})
urls.py 看起来像这样:
from django.conf.urls import patterns, url
from django.conf import settings
urlpatterns = patterns('',
url(r'^detail/$', 'django.views.generic.simple.direct_to_template', {'template': 'polls/detail.html'}),
url(r'^results/$', 'polls.views.handle'),
)
当我加载“detail.html”和视图源时,我看到:
<form action="/results/" method="post"><div style='display:none'><input type='hidden' name='csrfmiddlewaretoken' value='TVidKbDr1SCJUWIMWpPecN5tR862Chbo' /></div>
<input type="checkbox" value="1" name="artists">
<p><input type="submit" value="Send" /></p>
</form>
我有两个问题:
- 我是否应该在 viewsource 中看到 csrf 令牌(即 value='TVidKbDr1SCJUWIMWpPecN5tR862Chbo')?我认为它的全部意义在于攻击者看不到这个独特的价值。
- 在views.py中,我不应该在某处传递变量'c'吗?当我没有通过“c”时,一切都按预期工作。我只是不知道如何使用它。