我正在我的站点上测试CSRF保护，并且发现了意外情况。

我从表单中删除了{% csrf_token %}，但提交仍然有效。我不知道为什么。然后，我查看了源代码，发现 token 仍然在<form>元素旁边。我更改了表单的ID，以确保它确实是在更新源，并且确实存在，但隐藏的输入仍然存在。

我正在使用Django 1.2。仍然需要{% csrf_token %}吗？

干杯

富有的

经过更多调查后，如果表单具有方法{% csrf_token %}，则似乎总是插入post，如果没有，则不插入。来自Django的非常聪明的自动保护功能。