Django 不会检查 GET 请求的 CSRF 令牌。如果您有任何带有 的表单method="get",您应该删除该{% csrf_token %}标签。
当您这样做时,请仔细检查 GET 请求是否没有副作用(即它们不会更改任何数据)。如果不是,则保留 CSRF 令牌并更改视图/表单以使用 POST 请求。
如果 CSRF 令牌包含在 URL 中,那么它可能存储在某个地方,例如服务器日志。如果攻击者获得了令牌,那么他们就可以使用它来绕过 Django 的 CSRF 保护。
有关更多信息,请参阅Django CSRF 文档。