Django中开启和关闭CSRF保护的方法及使用CSRF_exempt()装饰器

在Django中，可以通过以下方法开启和关闭CSRF保护。

1. 开启CSRF保护：

在Django中，CSRF保护是默认开启的，可以在settings.py文件中的MIDDLEWARE设置中确认是否已添加了'django.middleware.csrf.CsrfViewMiddleware'中间件。如果没有添加，则需要手动添加该中间件。

2. 关闭CSRF保护：

可以使用@csrf_exempt装饰器来关闭CSRF保护。@csrf_exempt装饰器是一个可以应用于函数或方法的装饰器，用于标记该函数或方法不受CSRF保护。在使用@csrf_exempt装饰器后，Django将不再验证请求中的CSRF Token。

以下是一个使用@csrf_exempt装饰器的使用例子：

from django.views.decorators.csrf import csrf_exempt
from django.http import HttpResponse

@csrf_exempt
def my_view(request):
    if request.method == 'POST':
        # 处理POST请求
        return HttpResponse('POST request')
    elif request.method == 'GET':
        # 处理GET请求
        return HttpResponse('GET request')

在上面的例子中，my_view是一个视图函数，在request对象上使用了@csrf_exempt装饰器。这意味着无论请求类型是POST还是GET，都不会验证CSRF Token。请求将被直接处理，不会返回"403 Forbidden"错误。

需要注意的是，关闭CSRF保护可能会导致安全风险。只有在确保请求的安全性和验证方法之间有明确的理解和控制的情况下，才应关闭CSRF保护。

总结起来，开启和关闭CSRF保护的方法如下：

- 开启CSRF保护：确保在MIDDLEWARE设置中添加了'django.middleware.csrf.CsrfViewMiddleware'中间件。

- 关闭CSRF保护：使用@csrf_exempt装饰器标记视图函数，以关闭CSRF保护。

然而，需要注意尽可能避免关闭CSRF保护，因为这可能会引入安全漏洞。应该根据具体需求和安全要求来判断是否需要关闭CSRF保护。