今天被這個問題困擾了一上午芥备，理清以后發(fā)覺正常情況下是不會遇到這個問題的不见。
遇到這個問題的前提是什么呢研儒？

1. 習(xí)慣ajax方式提交POST請求
2. 習(xí)慣從cookie里找csrftoken

這次是在一個新建的project里遇到的這個問題单寂，舊project的base foundation都比較完善系吩，所以才沒有特別注意csrftoken的來源問題徘郭。

一般我們認(rèn)為cookie里的csrftoken是由csrftoken middleware所設(shè)置的靠益，事實確實如此，但也不完全是残揉。貼一段CsrfViewMiddleware的代碼：

def process_response(self, request, response):
        if getattr(response, 'csrf_processing_done', False):
            return response

        # If CSRF_COOKIE is unset, then CsrfViewMiddleware.process_view was
        # never called, probably because a request middleware returned a response
        # (for example, contrib.auth redirecting to a login page).
        if request.META.get("CSRF_COOKIE") is None:
            return response

        # 重點(diǎn)在這里
        if not request.META.get("CSRF_COOKIE_USED", False):
            return response

        # Set the CSRF cookie even if it's already set, so we renew
        # the expiry timer.
        response.set_cookie(settings.CSRF_COOKIE_NAME,
                            request.META["CSRF_COOKIE"],
                            max_age=settings.CSRF_COOKIE_AGE,
                            domain=settings.CSRF_COOKIE_DOMAIN,
                            path=settings.CSRF_COOKIE_PATH,
                            secure=settings.CSRF_COOKIE_SECURE,
                            httponly=settings.CSRF_COOKIE_HTTPONLY
                            )
        # Content varies with the CSRF cookie, so set the Vary header.
        patch_vary_headers(response, ('Cookie',))
        response.csrf_processing_done = True
        return response

這段代碼的重點(diǎn)在于對CSRF_COOKIE_USED的檢查捆毫，如果沒有設(shè)置，middleware會直接返回response而不在cookie里設(shè)置csrftoken冲甘。
而CSRF_COOKIE_USED是在哪設(shè)置的呢绩卤？有幾種途徑：

1. 手動設(shè)置。在你的view里添加request.META["CSRF_COOKIE_USED"] = True
2. 手動調(diào)用csrf middleware的get_token(request)或rotate_token(request)方法
3. 在你的html模板里添加 {% csrf_token %}

我今天的問題就在于第三種途徑江醇。舊project里是有添加的濒憋，而新project里沒有，所以導(dǎo)致了我的問題陶夜。

官方文檔建議在每一個form里都添加這樣的標(biāo)簽凛驮，這樣能夠在提交表單時自動將csrftoken添加進(jìn)請求里。
對于ajax post文檔也指出從cookie拿會比較方便条辟。

那這個標(biāo)簽具體做了什么呢黔夭？
使用這個標(biāo)簽會讓django模板引擎在這里插入一個隱藏的input用來存放csrftoken。在django.template.defaulttags里我們可以找到一個叫CsrfTokenNode的類羽嫡，它的render方法檢查了context里的csrf_token本姥。

def render(self, context):
        csrf_token = context.get('csrf_token', None)
        if csrf_token:
            if csrf_token == 'NOTPROVIDED':
                return format_html("")
            else:
                return format_html("<input type='hidden' name='csrfmiddlewaretoken' value='{}' />", csrf_token)
        else:
            ...

context中的csrf_token是一個django.template.context_processors.csrf的實例，他本身就等同于自己的_get_val()杭棵，只不過是在每次用到自己的時候才調(diào)用該方法獲得返回值婚惫。（這部分也是值得一寫的內(nèi)容）

所以可以看到在上面的render方法中的第二行，有一次對csrf_token的判斷魂爪，正是在這里調(diào)用了_get_val先舷，在_get_val中調(diào)用了get_token，get_token會從request里取CSRF_COOKIE滓侍，CSRF_COOKIE又是由middleware在process_view中提供的蒋川，所以最終會讓CsrfViewMiddleware在process_response里把csrftoken添加進(jìn)cookie里，也就可以在前端拿到cookie了撩笆。

總結(jié)一下捺球，這之間發(fā)生的事情就是：

1. html文件添加{% csrf_token %}標(biāo)簽
2. CsrfViewMiddleware在process_view時向request添加CSRF_COOKIE
3. 渲染模板檢測到該標(biāo)簽街图，在渲染時添加CsrfTokenNode類
4. CsrfTokenNode的渲染方法檢查csrf_token
5. 對csrf_token進(jìn)行判斷時調(diào)用get_token
6. get_token檢查request中的CSRF_COOKIE，并設(shè)置CSRF_COOKIE_USED為True
7. CsrfViewMiddleware在process_response設(shè)置cookie中的csrftoken

這樣前端就能看到cookie了懒构。

以上就是對這個問題的解決辦法的記錄餐济。