今天被這個問題困擾了一上午，理清以后發(fā)覺正常情況下是不會遇到這個問題的。
遇到這個問題的前提是什么呢？

1. 習慣ajax方式提交POST請求
2. 習慣從cookie里找csrftoken

這次是在一個新建的project里遇到的這個問題，舊project的base foundation都比較完善，所以才沒有特別注意csrftoken的來源問題。

一般我們認為cookie里的csrftoken是由csrftoken middleware所設置的，事實確實如此，但也不完全是。貼一段CsrfViewMiddleware的代碼：

def process_response(self, request, response):
        if getattr(response, 'csrf_processing_done', False):
            return response

        # If CSRF_COOKIE is unset, then CsrfViewMiddleware.process_view was
        # never called, probably because a request middleware returned a response
        # (for example, contrib.auth redirecting to a login page).
        if request.META.get("CSRF_COOKIE") is None:
            return response

        # 重點在這里
        if not request.META.get("CSRF_COOKIE_USED", False):
            return response

        # Set the CSRF cookie even if it's already set, so we renew
        # the expiry timer.
        response.set_cookie(settings.CSRF_COOKIE_NAME,
                            request.META["CSRF_COOKIE"],
                            max_age=settings.CSRF_COOKIE_AGE,
                            domain=settings.CSRF_COOKIE_DOMAIN,
                            path=settings.CSRF_COOKIE_PATH,
                            secure=settings.CSRF_COOKIE_SECURE,
                            httponly=settings.CSRF_COOKIE_HTTPONLY
                            )
        # Content varies with the CSRF cookie, so set the Vary header.
        patch_vary_headers(response, ('Cookie',))
        response.csrf_processing_done = True
        return response

這段代碼的重點在于對CSRF_COOKIE_USED的檢查，如果沒有設置，middleware會直接返回response而不在cookie里設置csrftoken。
而CSRF_COOKIE_USED是在哪設置的呢？有幾種途徑：

1. 手動設置。在你的view里添加request.META["CSRF_COOKIE_USED"] = True
2. 手動調用csrf middleware的get_token(request)或rotate_token(request)方法
3. 在你的html模板里添加 {% csrf_token %}

我今天的問題就在于第三種途徑。舊project里是有添加的，而新project里沒有，所以導致了我的問題。

官方文檔建議在每一個form里都添加這樣的標簽，這樣能夠在提交表單時自動將csrftoken添加進請求里。
對于ajax post文檔也指出從cookie拿會比較方便。

那這個標簽具體做了什么呢？
使用這個標簽會讓django模板引擎在這里插入一個隱藏的input用來存放csrftoken。在django.template.defaulttags里我們可以找到一個叫CsrfTokenNode的類，它的render方法檢查了context里的csrf_token。

def render(self, context):
        csrf_token = context.get('csrf_token', None)
        if csrf_token:
            if csrf_token == 'NOTPROVIDED':
                return format_html("")
            else:
                return format_html("<input type='hidden' name='csrfmiddlewaretoken' value='{}' />", csrf_token)
        else:
            ...

context中的csrf_token是一個django.template.context_processors.csrf的實例，他本身就等同于自己的_get_val()，只不過是在每次用到自己的時候才調用該方法獲得返回值。（這部分也是值得一寫的內容）

所以可以看到在上面的render方法中的第二行，有一次對csrf_token的判斷，正是在這里調用了_get_val，在_get_val中調用了get_token，get_token會從request里取CSRF_COOKIE，CSRF_COOKIE又是由middleware在process_view中提供的，所以最終會讓CsrfViewMiddleware在process_response里把csrftoken添加進cookie里，也就可以在前端拿到cookie了。

總結一下，這之間發(fā)生的事情就是：

1. html文件添加{% csrf_token %}標簽
2. CsrfViewMiddleware在process_view時向request添加CSRF_COOKIE
3. 渲染模板檢測到該標簽，在渲染時添加CsrfTokenNode類
4. CsrfTokenNode的渲染方法檢查csrf_token
5. 對csrf_token進行判斷時調用get_token
6. get_token檢查request中的CSRF_COOKIE，并設置CSRF_COOKIE_USED為True
7. CsrfViewMiddleware在process_response設置cookie中的csrftoken

這樣前端就能看到cookie了。

以上就是對這個問題的解決辦法的記錄。