如何从Django检索/提供CSRF令牌作为API

我可以向Django REST Framework的api-auth\login\ url发出请求，它将返回此标头： Set-Cookie:csrftoken=tjQfRZXWW4GtnWfe5fhTYor7uWnAYqhz; expires=Mon, 01-Aug-2016 16:32:10 GMT; Max-Age=31449600; Path=/ Set-Cookie:csrftoken=tjQfRZXWW4GtnWfe5fhTYor7uWnAYqhz; expires=Mon, 01-Aug-2016 16:32:10 GMT; Max-Age=31449600; Path=/ Set-Cookie:csrftoken=tjQfRZXWW4GtnWfe5fhTYor7uWnAYqhz; expires=Mon, 01-Aug-2016 16:32:10 GMT; Max-Age=31449600; Path=/ – 但我无法检索此cookie以使用X-CSRFToken发回我的AJAX请求（我的理解是单独的子域），并且它似乎不会自动包含。

这是我的相关代码：

 // using jQuery function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!csrfSafeMethod(settings.type)) { xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken')); } } }); 

当页面加载时我调用它以确保我有一个令牌：

 $.ajax(loginUrl, { method: "OPTIONS", async: false }) .done(function(data, textStatus, jqXHR) { console.log(jqXHR) app.csrftoken@ = $.cookie("csrftoken") console.log($.cookie("csrftoken")) console.log(app.csrftoken) }) .fail(function(jqXHR, textStatus, errorThrown) { console.log(jqXHR) }); 

这不是很干净，但我还没有向自己certificate这个概念。

当前端和后端位于不同的端口/域上时，对CSRF进行身份validation/保护的“正确”方法是什么？

• 在jquery标记输入中创建标记
• tumblr和google +堆栈图像如何拼图？

• 使用JQuery .ajax时，使用jquery’json’vs’text’时不会调用Success方法
• 仍有问题通过function回归价值
• 防止网络游戏上的AJAX作弊
• 数据表在初始加载时停留在“处理”上
• 使用rails中的ajax动态更新选择标记
• 使用PHP获取上传进度
• Ajax Loader和链式选择框
• 如何将文本发送到服务器并进行操作
• 使用json的jQuery和Ajax – 在IE中失败