Django视图中的跨站点请求伪造(CSRF)保护

Django中的CSRF保护是一种安全机制，用于防止恶意网站或攻击者利用用户的浏览器来进行非法操作。最常见的方式就是攻击者构建一个虚假的表单或者链接，试图将恶意请求发送到用户当前登录的站点。

Django的CSRF保护机制基于cookies和表单验证来实现。在每个页面加载时，Django会生成一个CSRF令牌，并向用户的浏览器中写入cookie。然后，当用户在站点上提交一个POST请求时，Django会对请求中的CSRF令牌进行校验，以确保该请求是合法的。

在Django视图中使用CSRF保护非常简单。首先，在模板中，可以使用以下方式将CSRF令牌存储在一个隐藏的HTML表单字段中：

{% csrf_token %}

然后，在Django视图函数中，可以使用以下装饰器来启用CSRF保护：

from django.views.decorators.csrf import csrf_protect

@csrf_protect
def my_view(request):
    # 处理请求的代码

使用这个装饰器之后，在接收到POST请求时，Django会自动校验请求中的CSRF令牌。如果请求中的CSRF令牌不匹配，Django将拒绝该请求。这种保护机制有效地防止了攻击者窃取用户的身份和账户信息。

下面是一个使用CSRF保护的视图函数的示例：

from django.shortcuts import render
from django.views.decorators.csrf import csrf_protect

@csrf_protect
def my_view(request):
    if request.method == 'POST':
        # 处理POST请求
        return render(request, 'success.html')
    else:
        # 处理GET请求
        return render(request, 'my_form.html')

在这个示例中，如果请求是POST请求，视图函数将校验CSRF令牌并执行相应的处理逻辑。如果CSRF令牌不匹配，则会返回一个错误页面。如果请求是GET请求，则渲染一个包含CSRF令牌的表单。