1.案例流程图：

2.django防止csrf的方式：

1 ) Django中默认打开csrf中间件。settings.py文件中：

MIDDLEWARE_CLASSES = ('django.contrib.sessions.middleware.SessionMiddleware','django.middleware.common.CommonMiddleware','django.middleware.csrf.CsrfViewMiddleware', # django默认启用了csrf防护，只针对post提交'django.contrib.auth.middleware.AuthenticationMiddleware','django.contrib.auth.middleware.SessionAuthenticationMiddleware','django.contrib.messages.middleware.MessageMiddleware','django.middleware.clickjacking.XFrameOptionsMiddleware','django.middleware.security.SecurityMiddleware',
)

2 ) 表单post提交数据时加上{% csrf_token %}标签。

3.防御原理:

1 ) 渲染模板文件时在页面生成一个名字叫做csrfmiddlewaretoken的隐藏域。

2 ) 服务器交给浏览器保存一个名字为csrftoken的cookie信息。
3 ) 提交表单时，两个值都会发给服务器，服务器进行比对，如果一样，则csrf验证通过，否则失败。