使用csrf_protect()防止跨站请求伪造攻击

跨站请求伪造（CSRF）攻击是一种利用受信任用户的身份进行未授权操作的攻击方式。攻击者通过诱导用户点击恶意链接或访问恶意网站，在用户在另一个受信任网站上具有登录凭据时，利用这些凭据完成未经用户授权的操作。

在Django中，提供了csrf_protect()装饰器来防止CSRF攻击。csrf_protect()会在处理POST请求的视图函数中自动验证请求中的CSRF令牌，如果验证失败，则抛出一个异常。

下面我们来看一个使用csrf_protect()防止CSRF攻击的例子。

首先，我们需要在settings.py文件中启用CSRF中间件。打开settings.py文件，找到MIDDLEWARE设置项，并添加'django.middleware.csrf.CsrfViewMiddleware'，如下所示：

MIDDLEWARE = [
    ...
    'django.middleware.csrf.CsrfViewMiddleware',
    ...
]

然后，在views.py文件中的视图函数中使用csrf_protect()装饰器。假设我们有一个处理评论的视图函数，代码如下：

from django.shortcuts import render
from django.views.decorators.csrf import csrf_protect

@csrf_protect
def comment(request):
    if request.method == 'POST':
        # 处理评论逻辑
        return render(request, 'success.html')
    else:
        return render(request, 'comment.html')

在上述代码中，我们使用csrf_protect()装饰器对comment()视图函数进行了保护。如果用户发送POST请求时未提供有效的CSRF令牌，Django将自动抛出一个异常并返回一个CSRF错误页面。

接下来，我们需要在模板中添加CSRF令牌。在comment.html模板文件中，我们可以使用{% csrf_token %}模板标签来生成CSRF令牌并包含在表单中，如下所示：

<form method="post" action="{% url 'comment' %}">
    {% csrf_token %}
    <!-- 其他表单字段 -->
    <input type="submit" value="提交">
</form>

在上述代码中，我们使用{% csrf_token %}模板标签生成了一个CSRF令牌，并将其作为隐藏字段添加到表单中。当用户提交表单时，该CSRF令牌将作为POST请求的一部分发送到服务器，服务器将验证令牌的有效性。

这样，我们就完成了使用csrf_protect()防止CSRF攻击的配置和使用。

需要注意的是，csrf_protect()只能防止POST请求中的CSRF攻击。对于其他类型的请求，如GET请求，我们需要使用其他方式来防止CSRF攻击。在Django中，可以使用csrf_exempt()装饰器来标记视图函数，以允许使用GET请求跳过CSRF验证，但需要谨慎使用，并确保在不会引起安全风险的情况下使用。