### 9. Форма и шаблоны

Формы являются неотъемлемой частью веб-приложений, позволяя пользователям вводить данные и взаимодействовать с приложением. В Django работа с формами включает в себя создание форм в Python, их рендеринг в шаблонах и обработку данных на сервере. В этом разделе мы рассмотрим, как эффективно использовать формы в шаблонах, включая рендеринг форм, защиту от CSRF и работу с виджетами форм.

#### 1. Рендеринг форм в шаблонах

##### Создание формы в Django

Прежде всего, необходимо создать форму, используя класс `forms.Form` или `forms.ModelForm`, если вы хотите, чтобы форма соответствовала модели.

**Пример создания формы:**

```python
from django import forms
from .models import Profile

class ProfileForm(forms.ModelForm):
    class Meta:
        model = Profile
        fields = ['username', 'email', 'avatar']
```

В этом примере создается форма `ProfileForm`, которая соответствует модели `Profile` и позволяет пользователю вводить имя пользователя, email и загружать аватар.

##### Рендеринг формы в шаблоне

Чтобы отобразить форму в шаблоне, вы можете использовать метод `{{ form }}` для рендеринга всей формы или рендерить отдельные поля, используя `{{ form.field_name }}`.

**Пример рендеринга формы в шаблоне:**

```html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Редактирование профиля</title>
</head>
<body>
    <h1>Редактировать профиль</h1>
    <form method="post" enctype="multipart/form-data">
        {% csrf_token %}
        {{ form.as_p }}
        <button type="submit">Сохранить</button>
    </form>
</body>
</html>
```

В этом примере используется метод `{{ form.as_p }}`, который рендерит форму в виде абзацев. Вы также можете использовать `{{ form.username }}`, `{{ form.email }}` и `{{ form.avatar }}`, чтобы отобразить отдельные поля формы.

##### Разбиение формы на отдельные части

Для более сложных форм вы можете разбираться с рендерингом отдельных частей формы. Например:

```html
<form method="post" enctype="multipart/form-data">
    {% csrf_token %}
    
    <div>
        <label for="{{ form.username.id_for_label }}">Имя пользователя:</label>
        {{ form.username }}
        {{ form.username.errors }}
    </div>
    
    <div>
        <label for="{{ form.email.id_for_label }}">Email:</label>
        {{ form.email }}
        {{ form.email.errors }}
    </div>

    <div>
        <label for="{{ form.avatar.id_for_label }}">Аватар:</label>
        {{ form.avatar }}
        {{ form.avatar.errors }}
    </div>

    <button type="submit">Сохранить</button>
</form>
```

Здесь каждое поле формы рендерится отдельно, и выводятся ошибки валидации, если они есть.

#### 2. Использование тега `{% csrf_token %}` для защиты от CSRF

##### Что такое CSRF?

CSRF (Cross-Site Request Forgery) — это атака, при которой злоумышленник может заставить пользователя выполнить нежелательное действие на веб-сайте, на который тот вошел в систему. Django предоставляет встроенные механизмы защиты от CSRF, и один из них — использование токена CSRF.

##### Как использовать токен CSRF в формах?

Чтобы защитить формы от CSRF-атак, необходимо использовать тег `{% csrf_token %}` внутри формы. Этот тег генерирует токен, который будет проверен при отправке формы.

**Пример использования токена CSRF:**

```html
<form method="post" enctype="multipart/form-data">
    {% csrf_token %}
    {{ form.as_p }}
    <button type="submit">Сохранить</button>
</form>
```

Если токен CSRF отсутствует или неверен, Django вернет ошибку 403 (Forbidden) при попытке отправить форму.

#### 3. Стандартные и пользовательские виджеты форм

##### Стандартные виджеты

Django предоставляет набор стандартных виджетов, которые можно использовать для отображения полей формы. Например:

- `TextInput` для текстовых полей.
- `EmailInput` для email-адресов.
- `FileInput` для загрузки файлов.

Вы можете указать виджет, используя атрибут `widgets` в классе формы.

**Пример использования стандартного виджета:**

```python
class ProfileForm(forms.ModelForm):
    class Meta:
        model = Profile
        fields = ['username', 'email', 'avatar']
        widgets = {
            'username': forms.TextInput(attrs={'placeholder': 'Введите имя пользователя'}),
            'email': forms.EmailInput(attrs={'placeholder': 'Введите ваш email'}),
            'avatar': forms.FileInput(attrs={'accept': 'image/*'}),
        }
```

##### Пользовательские виджеты

Если стандартные виджеты не подходят, вы можете создать собственный виджет, унаследовавшись от одного из существующих. Например, если вы хотите создать виджет для выбора даты, вы можете создать свой виджет:

**Пример пользовательского виджета:**

```python
from django import forms

class CustomDateInput(forms.DateInput):
    input_type = 'date'
    
class ProfileForm(forms.ModelForm):
    class Meta:
        model = Profile
        fields = ['date_of_birth']
        widgets = {
            'date_of_birth': CustomDateInput(),
        }
```

В этом примере создан пользовательский виджет `CustomDateInput`, который отображает поле ввода даты в формате выбора даты в браузере.

##### Рендеринг виджетов в шаблоне

В шаблонах вы можете рендерить пользовательские виджеты так же, как и стандартные:

```html
<form method="post" enctype="multipart/form-data">
    {% csrf_token %}
    
    <div>
        <label for="{{ form.date_of_birth.id_for_label }}">Дата рождения:</label>
        {{ form.date_of_birth }}
    </div>

    <button type="submit">Сохранить</button>
</form>
```

### Итоги

Работа с формами в Django включает в себя создание, рендеринг и обработку форм, а также защиту от CSRF-атак. Использование стандартных и пользовательских виджетов позволяет настраивать внешний вид и функциональность форм под ваши нужды. Эти аспекты являются ключевыми для обеспечения безопасного и удобного взаимодействия пользователя с вашим веб-приложением.