伪造:
其实请求伪造是客户端发的 恶意网站不需要客户端的访问记录
保护:
(使用POST请求方式 , 本质是在请求的参数上加上随机字符串进行混淆)
1 .当客户端请求服务器 服务器端根据 secret_key 生成一个随机的token 服务器会把这个token 写到返回的cookie里 键为
csrftoken 其值为自动生成的token
2 在所有的POST表单中 服务器会自动帮帮我们生成一个隐藏标签
3 在每次的POST表单提交时 服务器会验证提交的表单里的这个隐藏标签value 的值 是否和 cookie里边 csrftoken 对应的值一致 如果一致 表明是合法请求 否则可能来自于csrf 攻击 返回403 Forbidden 没有权限的意思
每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击