Los documentos de django nos dicen que nuestros scripts AJAX deben adquirir el token de la cookie designada como en get_cookie('_csrf_token') . ¿Puedo imprimirlo en la fuente HTML para que esté disponible para el contexto JS más fácilmente?
<script>
var TOKEN = "{{csrf_token}}";
</script>
<script src="myscript.js">
Sí, si lo desea, no hay ningún riesgo de seguridad adicional siempre y cuando se asegure de que si el almacenamiento en caché está habilitado, solo se especifique el almacenamiento en caché privado para evitar que este valor sea cacheado por cualquier servidor proxy entre los usuarios y su sistema.
por ejemplo Encabezado de respuesta HTTP cache-control: private .
La Same Origin Policy evitará que se lea el token en la página (suponiendo que no haya habilitado < a href="http://www.html5rocks.com/en/tutorials/cors/"> CORS ).