擅长:python、mysql、java
<p>这取决于你的控制器做什么。您应该有一些中间件或信号类型的方法来验证您的请求。如果您的控制器正在将一些原始数据写入DB,那么您应该避免<code>csrf_exempt</code>,除非您的url为某个webhook打开。对于restapi,您可以使用<a href="https://pypi.org/project/django-cors-headers/" rel="nofollow noreferrer">CORS HEADER</a>而不是使用<code>csrf_exempt</code>(尽管当您的REST是公共的时它有一些限制)</p>