比方說,我在javascript文件形式:Django的CSRF保護,如果形式的JavaScript文件
function form(csrf){
document.write('<form action="" method="post">'+csrf);
document.write(....);
document.write('<button>Go</button></form>');
}
模板:
<script type="text/javascript">
form({% csrf_token %});
</script>
它是安全的這樣做呢?
謝謝!
您可能需要在csrf_token周圍加上引號,比如'form(「{%csrf_token%}」)''。 –