django的X-CSRFToken

在setting中可以看到有这个中间件

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

可以用来保护POST、PUT、PATCH 和 DELETE 等修改数据的请求方法。

在django的view中你只要去request的body中拿数据，那么一定是收到了csrf保护的，可以放心。

get方法传data会被写在url后面是不会在body中的。我测试用js的get绕过没有成功。

我chrome的代理使用的是ZeroOmega，不能代理127的，没能测试，可以尝试用python的request尝试一下。