使用CSRF_exempt()装饰器实现Django视图函数的自定义CSRF保护

在Django中，Cross-Site Request Forgery（CSRF）是一种常见的攻击方式，攻击者通过伪造用户的请求来执行恶意操作。为了防止CSRF攻击，Django提供了默认的CSRF保护机制，该机制会在每个表单请求中生成一个CSRF令牌，并在后端验证请求中的令牌。然而，有时候在特定的情况下，我们可能需要禁用CSRF保护。

Django提供了一个装饰器CSRF_exempt()，可以用于装饰视图函数，从而实现自定义的CSRF保护。使用该装饰器后，Django将不会对被装饰的函数进行CSRF验证，即使请求中没有正确的CSRF令牌也可以被访问。

下面是一个使用CSRF_exempt()装饰器实现自定义CSRF保护的例子：

from django.views.decorators.csrf import csrf_exempt
from django.http import HttpResponse

@csrf_exempt
def unprotected_view(request):
    if request.method == 'POST':
        # 处理表单提交的数据
        return HttpResponse('Success')
    else:
        return HttpResponse('GET request')

def protected_view(request):
    if request.method == 'POST':
        # 处理表单提交的数据
        return HttpResponse('Success')
    else:
        return HttpResponse('GET request')

在上面的例子中，unprotected_view函数被装饰了csrf_exempt装饰器，从而禁用了CSRF保护。这意味着无论是GET请求还是POST请求，都可以访问该视图函数，并且不需要提供CSRF令牌。

protected_view函数没有被装饰，因此默认启用了CSRF保护。对于POST请求，需要在请求中包含CSRF令牌才能成功访问该函数。

可以在Django的URL配置中将视图函数添加到对应的URL路径上，例如：

from django.urls import path
from .views import unprotected_view, protected_view

urlpatterns = [
    path('unprotected/', unprotected_view, name='unprotected'),
    path('protected/', protected_view, name='protected'),
]

上面的URL配置指定了unprotected_view函数用于处理路径为/unprotected/的请求，而protected_view函数用于处理路径为/protected/的请求。

通过以上配置，当访问/unprotected/路径时，无论是GET请求还是POST请求，都会被unprotected_view函数处理。而访问/protected/路径时，只有对于提供了正确的CSRF令牌的POST请求才会被protected_view函数处理。

虽然CSRF_exempt()装饰器可以用于禁用CSRF保护，但在实际开发中应谨慎使用，尤其是对于涉及用户数据修改等敏感操作的视图函数，仍然建议启用CSRF保护来确保Web应用的安全性。