我们都在奔赴不同的人生，只希望能在赚不到大钱的日子里能赚到比钱更珍贵的东西。

跨域问题发生在，浏览器向后端发起请求之后，后端向前端返回数据的时候。通常后端会正常返回数据，但是前端会判断此时返回数据的url和第一次访问前端项目url不一样，就会选择拒绝绝收数据，此时发生了跨域。这也是浏览器的同源策略所导致的。

跨域主要是指域名、端口、IP不一致，

浏览器的同源策略也避免了一些安全问题。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。

如果没有同源策略，比如用户电脑中了病毒，用户访问网站A的时候，再返回数据之前病毒会将访问未知网站B的命令塞进数据中，这时候网站B会带着正常用户的cookie去做一些未知的事情，导致用户的损失。

跨域的几种解决方案： 1、jsonp跨域，只能实现get请求 标签不受同源策略的影响,将网址写到url中

2、CORS（跨域资源共享） 服务器端响应头header 添加 Access-Control-Allow-Origin

3、Nginx代理跨域

前端项目常见解决跨域：

CSRF 攻击也可以理解为就是攻击者盗用了你的身份，然后以你的名义发送而已请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账，然后简单说就是你的个人隐私信息泄露以及财产安全。所以大多数浏览器进行了跨域请求限制，这是从浏览器层面上的对 CSRF 攻击的一种防御，但是需要注意的是在复杂的网络环境中借助浏览器来防御 CSRF 攻击并不足够，还需要从服务端或者客户端方面入手防御。

中间件

process_request process_view process_response process_exception process_render_template

中间件的csrf是如何实现的？ django.views.decorators.csrf import csrf_exempt,csrf_protect（中间件注释掉csrf,全站不用，加该方法表明某一个函数需要认证） 在process_view方法：检查是否被 @csrf_exempt 装饰（免除csrf认证）—去请求体或者cookies中获取token FBV中可以采用直接加@csrf_exempt @csrf_protect

CBV中加在对应的方法中是无效的，需要加在dispatch中，且将csrf_exempt 作为参数传入method_decorators中