如何在jinja2模板引擎中实现csrf_token保护？

看起来Jinja2的工作方式有所不同：

使用<input type="hidden" name="csrfmiddlewaretoken" value="{{ csrf_token }}">， 而在Django模板中您使用{% csrf_token %}

来源：http://exyr.org/2010/Jinja-in-Django/

我知道这是一个旧的问题，但我想更新一下使用 Django 1.8+ 中可用的新的 django.template.backends.jinja2.Jinja2 时支持 csrf_token 的正确方法。 使用 django 模板后端，您将会调用 {% csrf_token %} ，但是使用 Jinja2 后端，您需要使用 {{ csrf_input }} 来调用它（您可以仅获取令牌值而不是令牌输入，使用 {{ csrf_token }} ）。

您可以在 django.template.backends.jinja2.Jinja2 的源代码中查看详细信息。

在使用Django 2.x与Jinja2模板引擎时，您可以使用{{ csrf_token }}获取令牌的值，使用{{ csrf_input }}获取完整的隐藏输入标签。
来源：https://django.readthedocs.io/en/2.1.x/ref/csrf.html 示例：

<form action="..." method="post">
  {{ csrf_input }}

   ...
</form>

我使用Coffin。 并且在使用时遇到了同样的问题：

from coffin.shortcuts import render_to_response
return render_to_response('template_name_here.html', context)

尝试使用以下替代方案：

from coffin.shortcuts import render
return render(request, 'template_name_here.html', context)

您不再需要做任何特殊的事情了。csrf_token 已经在 django-jinja 中得到支持，并且可以直接使用。

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8"/>
    <title>test</title>
  </head>
  <body>
    <p>This should add a hidden input tag with the token. use it in your forms</p>
    {% csrf_token %}
  </body>
</html>

这段JS代码可以解决这个问题，它适用于Django和Jinja2，因为它是纯JavaScript处理post方法表单标签的方式，您可以通过探索它来自定义它。

我只是从已经存在的cookie中获取CSRF令牌，并在表单标签中使用它。

let getCookie = (name) => {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = cookies[i].trim();
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}


$(()=>{
    formTags = document.querySelectorAll('[method="POST"]')
    
    let csrfToken = getCookie('csrftoken')

    

    Array.from(formTags).forEach(formTag=>{

        var inputTag = document.createElement('input')

        inputTag.setAttribute('type', 'hidden')
        inputTag.setAttribute('name', 'csrfmiddlewaretoken')
        inputTag.setAttribute('value', [csrfToken])
    
        formTag.appendChild(inputTag)

    })
})

我曾经遇到过同样的问题，我注意到默认加载的处理器列表中没有CSRF上下文处理器。在setting.py文件中将'django.core.context_processors.csrf'添加到TEMPLATE_CONTEXT_PROCESSORS后，我就可以正常使用{% csrf_token %}模板标签了。