I documenti di django ci dicono che i nostri script AJAX dovrebbero acquisire il token dal cookie designato come in get_cookie('_csrf_token') . Posso piuttosto stamparlo sull'origine HTML, in modo che sia più facilmente disponibile per il contesto JS?
<script>
var TOKEN = "{{csrf_token}}";
</script>
<script src="myscript.js">
Sì, se lo si desidera, non vi è alcun rischio aggiuntivo di sicurezza se si assicura che se la memorizzazione nella cache è abilitata, viene specificata solo la memorizzazione nella cache privata per impedire che questo valore venga memorizzato nella cache da qualsiasi server proxy tra gli utenti e il sistema.
es. cache-control: private intestazione della risposta HTTP.
La Stessa politica di origine impedirà la lettura del token sulla pagina (supponendo che tu non abbia abilitato < a href="http://www.html5rocks.com/en/tutorials/cors/"> CORS ).