django/graphene/apollo/django-webpack-loader/vue:CORS/CSRF不同

我正在使用django作为后端，作为前端进行vue，并尝试实现Apollo/Graphene/GraphQl作为数据传输层。大部分都有效，但我不围绕CORS/CSRF设置。

(这里确实有很多研究。在这里，这里和这里。

有人知道如何通过CSRF令牌解决graphql/chuperene api吗？在Django日志终端上，我得到：

Forbidden (CSRF token missing or incorrect.): /graphql/

...在VUE/JS控制台上，我看到

Cross-Origin Request Blocked: The Same Origin Policy disallows 
reading the remote resource at http://localhost:8080/sockjs-node/
info?t=1558447812102. 

您可以在这里看到此项目。

http：//localhost：8000，http：//localhost：8000/admin和http：//http：//localhost：8000/工作得很好。查询query{menuItems{id, title, slug, disabled}}在GraphiQl中运行良好。

settings.py：

INSTALLED_APPS = [
    # ...
    'corsheaders',
    'rest_framework',
    'webpack_loader',
    'graphene_django',
]
MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware', # new
    # ...
]
CORS_ORIGIN_ALLOW_ALL = DEBUG    # (=True)

问题在这里：* yarn serve在http：//localhost上运行：8080* ./manage.py runserver在http：//localhost：8000上运行，并通过webpack vue frontend dev服务器进行代理。

vue.config.js：

module.exports = {
    // The base URL your application bundle will be deployed at
    publicPath: 'http://localhost:8080',
    // ...
    chainWebpack: config => {
        // ...
        config.devServer
            .public('http://localhost:8080')
// ...

vue-apollo.js：

const httpEndpoint = process.env.VUE_APP_GRAPHQL_HTTP || 'http://localhost:8000/graphql/'

编辑：如果我用 csrf_exempt包裹 graphql/ api urlpath，则有效：

urlpatterns = [ # ...
    path('graphql/', csrf_exempt(GraphQLView.as_view(graphiql=True, schema=schema))),
]

，但这是Badidea(TM(安全性。我如何使用django和webpack_loader使用VUE将该令牌进入前端？