通过html链接删除Django中的对象

我有一个带有 Post 模型的项目，这是基本的帖子。我想在每个帖子页面上创建一个链接，以便能够删除该帖子（具有适当的安全性）。

关于堆栈溢出有一些问题，但我似乎找不到一个完整的、可行的答案（我使用的是 Django 1.7），当我实现它时不会抛出错误。

我已经能够实现一个可以正常工作的删除功能，但需要添加带有 CSRF 令牌的 POST 表单进行验证，并检查删除它的用户是否是创建它的用户。我似乎不知道如何将这两个添加进去。

到目前为止，在我的views.py中：

def delete(request, id):
    post = Post.objects.filter(pk=id).delete()
    return HttpResponseRedirect(reverse('posts.views.all_posts'))

在 urls.py 中：

url(r'^delete/(?P<id>\d+)/$','posts.views.delete'),

In html:

<a href="/delete/{{ post.id }}">Delete</a>

这一切都有效，但没有安全性 - 因此请欣赏有关如何添加表单和检查的指导。

另外，我看到了一个使用 DeleteView 的答案，但也无法让该答案工作。

事实上，使用 GET 方法删除对象会让您容易受到CSRF 攻击 https://docs.djangoproject.com/en/dev/ref/contrib/csrf/.

DeleteView https://docs.djangoproject.com/en/1.7/ref/class-based-views/generic-editing/#deleteview仅在 POST 时删除，并在 GET 时显示确认页面。

你的代码应该看起来像这样views.py:

from django.views.generic import DeleteView

class PostDelete(DeleteView):
    model = Post
    success_url = reverse_lazy('posts.views.all_posts')

In urls.py:

url(r'^delete/(?P<pk>\d+)/$', PostDelete.as_view(),
        name='entry_delete'),

您的表单（不使用确认模板。文档中有确认模板的示例）：

<form action="{% url 'entry_delete' object.pk %}" method="post">
    {% csrf_token %}
    <input type="submit" value="Delete" />
</form>

如果您不使用确认模板，请确保指向表单的action归因于DeleteView (这就是为什么 https://stackoverflow.com/questions/8395269/).

为了确保删除帖子的用户是拥有该帖子的用户，我喜欢使用mixins https://docs.djangoproject.com/en/1.7/ref/class-based-views/mixins/。假设你的Post模型有一个created_by外键指向User，你可以编写一个 mixin，例如：

from django.core.exceptions import PermissionDenied

class PermissionMixin(object):

    def get_object(self, *args, **kwargs):
        obj = super(PermissionMixin, self).get_object(*args, **kwargs)
        if not obj.created_by == self.request.user:
            raise PermissionDenied()
        else:
            return obj

最后，你的DeleteView应该继承这个mixin：

class PostDelete(PermissionMixin, DeleteView):

    model = Post
    success_url = reverse_lazy('posts.views.all_posts')