Я пытаюсь написать сайт в Django, где URL-адреса API совпадают с URL-адресами пользователей. Но у меня проблемы со страницами, которые используют POST-запросы и защиту CSRF. Например, если у меня есть страница / foo / add, я хочу иметь возможность отправлять ей запросы POST двумя способами:

As an end user (authenticated using a session cookie) submitting a form. This requires CSRF protection. As an API client (authenticated using a HTTP request header). This will fail if CSRF protection is enabled.

Я нашел различные способы отключения CSRF, такие как @csrf_exempt, но все они отключают его для всего представления. Есть ли способ включить / отключить его на более мелком уровне? Или я просто собираюсь реализовать собственную защиту CSRF с нуля?