@csrf_exempt 在 Django 1.4 中停止工作

Question

我有以下代码，在 Django 1.2.5 中运行良好：

from django.views.decorators.csrf import csrf_exempt

class ApiView(object):
    def __call__(self, request, *args, **kwargs):
        method = request.method.upper()
        return getattr(self, method)(request, *args, **kwargs)

@csrf_exempt
class MyView(ApiView):

    def POST(self):
       # (...)
       return HttpResponse(json.dumps(True), mimetype="text/javascript")

但是当我升级到 Django 1.4 时，我开始收到 403 禁止，并显示“CSRF 验证失败”消息。

为什么 @csrf_exempt 装饰器不起作用？

网址定义为：

from django.conf.urls.defaults import *
from django.views.decorators.csrf import csrf_exempt

import views

urlpatterns = patterns('',
   url(r'^myview/(?P<parameter_name>[A-Za-z0-9-_]+)/$',
       views.MyView(),
       name="myproject-myapp-myview",
       ),
)

Answer 1

根据django docs：

要装饰基于类的视图的每个实例，您需要装饰 类定义本身。为此，您将装饰器应用于 类的 dispatch() 方法。

所以你需要做类似的事情：

class MyView(ApiView):

    def POST(self):
       # (...)
       return HttpResponse(json.dumps(True), mimetype="text/javascript")

    @csrf_exempt
    def dispatch(self, *args, **kwargs):
        return super(MyView, self).dispatch(*args, **kwargs)

Answer 2

只需在urls.py 中使用csrf_exempt。即::

urls.py

​​>

..other imports...
from django.views.decorators.csrf import csrf_exempt   
from myapp.views import MyView

urlpatterns = patterns('',
   url(r'^myview/(?P<parameter_name>[A-Za-z0-9-_]+)/$',
       csrf_exempt(MyView.as_view()), # use csrf_exempt here
       name="myproject-myapp-myview",
       ),
)

Answer 3

csrf_exempt 必须装饰一个函数。在您的网址中，您可以装饰一个该功能，docs can be found here。

(r'^vote/', permission_required('polls.can_vote')(VoteView.as_view())),