django的X-CSRFToken

在setting中可以看到有这个中间件

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

可以用来保护POST、PUT、PATCH 和 DELETE 等修改数据的请求方法。

在django的view post请求需要这个

get方法传data会被写在url后面是不会在body中的。我测试用js的get绕过没有成功。用python的request尝试一下，用get加data成功了，防不住，你要在view里自己保证是post请求。。