odoo10参考系列--网络控制器（Web Controllers）

路由

odoo.http.route(route=None, **kw)

标记装饰方法作为请求处理程序的装饰程序。该方法必须是Controller的一个子类的一部分。

参数

• route -- 字符串或数组。路由部分将决定哪些HTTP请求将与装饰方法相匹配。可以是单个字符串或字符串数组。详见werkzeug的路由表达式格式的路由文档( http://werkzeug.pocoo.org/docs/routing/ )
• type -- 请求类型，可以是'http' 或 'json'.
• auth --

  身份验证方法的类型，可以有以下内容：

  • user: 必须对用户进行身份验证，当前请求将使用用户的权限执行
  • public: 用户可以被验证，也可以不被验证。如果不是，当前请求将使用共享公共用户执行
  • none: 该方法始终是活动的，即使没有数据库。主要用于框架和验证模块。请求代码将没有任何访问数据库的设施，也没有任何配置指示当前数据库或当前用户
• methods -- 此路由适用于一系列的HTTP方法。如果未指定，则允许使用所有方法
• cors -- The Access-Control-Allow-Origin cors directive value.
• csrf (bool) --

  CSRF保护是否应该为路由启用

  默认值为 True. 详见CSRF Protection 了解更多（如下）

CSRF Protection

版本9.0中的新内容。

Odoo实现了基于CSRF保护的令牌。

CSRF保护默认是启用的，适用于不安全的HTTP方法由RFC 7231定义(所有方法，除了GET, HEAD, TRACE 和OPTIONS)。

CSRF保护是通过检查请求，其为一个值使用不安全的方法，该值称为csrf_token，其作为请求的表单数据的一部分。该值作为验证的一部分从表单中移除，而不必由您自己的表单处理来考虑。

为不安全的方法添加新控制器时(例如主要为表达使用POST):

• 如果表达用Python生成，一个csrf 令牌可通过request.csrf_token() {"jsonrpc": "2.0", "method": "call", "params": {"context": {}, "arg1": "val1" }, "id": null} {"jsonrpc": "2.0", "method": "call", "params": {"context": {}, "arg1": "val1" }, "id": null}