禁止(未设置CSRF cookie。)从Vue.js向Django发送POST/DELETE请求时

基础概念

CSRF（跨站请求伪造）是一种常见的Web安全漏洞，攻击者通过伪造用户的请求来执行非预期的操作。为了防止这种攻击，许多框架（如Django）提供了CSRF保护机制。

CSRF Cookie：服务器在用户首次访问时生成一个随机的CSRF令牌，并将其存储在用户的浏览器cookie中。每次发送POST/DELETE等敏感请求时，客户端需要将这个令牌包含在请求中，以便服务器验证请求的合法性。

相关优势

1. 安全性：有效防止CSRF攻击，保护用户数据不被恶意篡改。
2. 简单易用：大多数现代Web框架都内置了CSRF保护机制，使用起来非常方便。

类型与应用场景

类型：

• 同步CSRF保护：通过cookie和表单字段传递CSRF令牌。
• 异步CSRF保护：通过自定义HTTP头或特定的请求参数传递CSRF令牌。

应用场景：

• Web应用：特别是涉及到用户数据修改的POST/DELETE请求。
• API服务：对外提供的RESTful API需要防止CSRF攻击。

问题原因及解决方法

问题原因

当你从Vue.js向Django发送POST/DELETE请求时，如果没有设置CSRF cookie，Django会认为这是一个未经验证的请求，并拒绝处理。

解决方法

1. 在Django中启用CSRF保护： 确保在Django的settings.py中启用了CSRF中间件：
2. 在Django中启用CSRF保护： 确保在Django的settings.py中启用了CSRF中间件：
3. 在Vue.js中设置CSRF Token： 在发送请求之前，从cookie中读取CSRF token，并将其添加到请求头中。
4. 示例代码：
5. 示例代码：
6. 使用Django REST Framework的CSRF exempt装饰器（不推荐用于敏感操作）： 如果你确定某个视图不需要CSRF保护，可以使用@csrf_exempt装饰器，但请谨慎使用。
7. 使用Django REST Framework的CSRF exempt装饰器（不推荐用于敏感操作）： 如果你确定某个视图不需要CSRF保护，可以使用@csrf_exempt装饰器，但请谨慎使用。

通过以上方法，你可以有效地解决从Vue.js向Django发送POST/DELETE请求时遇到的CSRF问题。