CSRF攻击（Cross-Site Request Forgery）是一种基于用户身份验证的攻击，攻击者通过某种方式（如邮件、社交网络等）将带有恶意代码的链接或网页发送给用户，如果用户点击该链接或访问该网页，在用户不知情的情况下发起了一条携带用户身份验证信息（如cookie、session等）的请求，从而导致用户的身份遭到攻击者的冒用。CSRF攻击往往被用于窃取用户的隐私信息、执行恶意代码等，极大地威胁了用户的安全。

AJAX（Asynchronous JavaScript and XML）是一种基于JavaScript的技术，通过浏览器与Web服务器进行异步通信，实现局部页面的更新而不必重载整个页面。由于AJAX请求具有跨域、异步等特性，极大地提升了Web应用的交互性和响应速度，成为现代Web开发中不可或缺的技术。

在Python中，防范CSRF攻击的方法是在每一次产生的form表单中添加一个“csrf_token”字段，该字段的值随机产生，以确保每一次请求都是合法的。而在AJAX请求中，除了在每一次产生的JSON串中添加“csrf_token”字段，以外还需要在响应头中添加“X-CSRFToken”字段，以确保每一次异步请求都是合法的。

下面我们通过一些代码演示来具体了解如何在Python中防范CSRF攻击和处理AJAX请求：

1. 防范CSRF攻击的方式

在Django框架中，可以通过在settings.py文件中设置CSRF_COOKIE_SECURE=True和SESSION_COOKIE_SECURE=True来开启CSRF和Session的安全传输，以防止cookie被盗用。此外，在每个表单中，可以使用Django提供的{% csrf_token %}模板标签，在表单中生成一个随机的csrf_token值。

在Flask框架中，可以通过Flask-WTF扩展提供的CSRFProtect函数实现CSRF防范。CSRFProtect函数会在每个POST请求中检查表单的CSRF标记，以确保表单的请求是合法的。

2. 处理AJAX请求的方式

在Django框架中，可以通过在AJAX请求的头信息中添加“X-CSRFToken”字段，并在响应头中添加“Access-Control-Allow-Origin”字段来处理跨域请求。示例代码如下：

views.py

from django.views.decorators.csrf import ensure_csrf_cookie, csrf_exempt
from django.http import JsonResponse

@ensure_csrf_cookie
def get_csrf_token(request):
return JsonResponse({'csrf_token': request.COOKIES.get('csrftoken')})

@csrf_exempt
def ajax_demo(request):
if request.method == 'POST':
return JsonResponse({'status': 'ok'})
else:
return JsonResponse({'status': 'error'})

template.html

在Flask框架中，可以通过Flask-CORS扩展和Flask-WTF扩展提供的protect和csrf方法来处理AJAX请求和CSRF攻击。示例代码如下：

app.py

from flask import Flask, request, jsonify
from flask_wtf.csrf import CSRFProtect
from flask_cors import CORS

app = Flask(name)
app.config['SECRET_KEY'] = 'secret_key'
cors = CORS(app)
csrf = CSRFProtect(app)

@app.route('/get_csrf_token/', methods=['GET'])
@csrf.exempt
def get_csrf_token():
csrf_token = request.cookies.get('csrf_token', '')
return jsonify({'csrf_token': csrf_token})

@app.route('/ajax_demo/', methods=['POST'])
@csrf.protect
def ajax_demo():
return jsonify({'status': 'ok'})

template.html