我正在使用Django Rest Framework创建API . 用户仍然需要获取CSRF令牌来进行POST,PUT,PATCH和DELETE调用 . 用户最初获取CSRF令牌的最佳做法是什么?我正在使用TokenAuthentication . 所以我只需要允许API获取用户名和密码并发送回令牌 . 之后我不需要CSRF令牌 .
我是否必须添加一个允许他们使用GET方法调用获取CSRF令牌的步骤,该调用将返回一个令牌?
我正在寻找有关如何最好地解决这个问题的建议 .
使用API,您即将打开一个门,无需任何会话和浏览器即可处理服务器上的请求 . CSRF令牌只是验证表单请求,以确保它从您的网站发送 . 据我所知,关闭API的CSRF保护是绝对可以的 .
你可以使用 csrf_exempt 装饰器 .
阅读本文以了解有关 CSRF and Web API protection 的更多信息 .
1 回答
使用API,您即将打开一个门,无需任何会话和浏览器即可处理服务器上的请求 . CSRF令牌只是验证表单请求,以确保它从您的网站发送 . 据我所知,关闭API的CSRF保护是绝对可以的 .
你可以使用 csrf_exempt 装饰器 .
阅读本文以了解有关 CSRF and Web API protection 的更多信息 .