Python-Django CSRF检查失败,并带有Ajax POST请求

发布于 2021-02-02 23:20:10

我可以通过我的AJAX帖子向遵循Django CSRF保护机制的人员提供帮助。我按照这里的指示进行:

http://docs.djangoproject.com/en/dev/ref/contrib/csrf/

我已经精确地复制了他们在该页面上拥有的AJAX示例代码:

http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax

getCookie('csrftoken')xhr.setRequestHeader呼叫之前打印了警报,并打印了的内容,确实在其中填充了一些数据。我不确定如何验证令牌是否正确,但是我鼓励它正在查找并发送一些消息。

但是Django仍然拒绝我的AJAX帖子。

这是我的JavaScript:

$.post("/memorize/", data, function (result) {
    if (result != "failure") {
        get_random_card();
    }
    else {
        alert("Failed to save card data.");
    }
});

这是我在Django中看到的错误:

[23 / Feb / 2011 22:08:29]“ POST / memorize / HTTP / 1.1” 403 2332

我确定我缺少某些东西,也许很简单,但是我不知道它是什么。我搜索了SO,并看到了一些有关通过csrf_exempt装饰器关闭CSRF检查以获取我的视图的信息,但是我发现这并不吸引人。我已经尝试过了,并且可以工作,但是我宁愿让POST按照Django期望的方式工作。

以防万一,这是我的观点要点:

def myview(request):

    profile = request.user.profile

    if request.method == 'POST':
        """
        Process the post...
        """
        return HttpResponseRedirect('/memorize/')
    else: # request.method == 'GET'

        ajax = request.GET.has_key('ajax')

        """
        Some irrelevent code...
        """

        if ajax:
            response = HttpResponse()
            profile.get_stack_json(response)
            return response
        else:
            """
            Get data to send along with the content of the page.
            """

        return render_to_response('memorize/memorize.html',
                """ My data """
                context_instance=RequestContext(request))
关注者
0
被浏览
90
1 个回答
  • 面试哥
    面试哥 2021-02-02
    为面试而生,有面试问题,就找面试哥。

    好的,我设法找出问题所在。它位于Javascript(如我在下面建议的)代码中。

    你需要的是:

    $.ajaxSetup({ 
         beforeSend: function(xhr, settings) {
             function getCookie(name) {
                 var cookieValue = null;
                 if (document.cookie && document.cookie != '') {
                     var cookies = document.cookie.split(';');
                     for (var i = 0; i < cookies.length; i++) {
                         var cookie = jQuery.trim(cookies[i]);
                         // Does this cookie string begin with the name we want?
                         if (cookie.substring(0, name.length + 1) == (name + '=')) {
                             cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                             break;
                         }
                     }
                 }
                 return cookieValue;
             }
             if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
                 // Only send the token to relative URLs i.e. locally.
                 xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
             }
         } 
    });
    

    而不是官方文档中发布的代码:https: //docs.djangoproject.com/en/2.2/ref/csrf/

    工作代码来自以下Django条目:http : //www.djangoproject.com/weblog/2011/feb/08/security/

    因此,一般的解决方案是:“使用ajaxSetup处理程序而不是ajaxSend处理程序”。我不知道为什么会这样。但这对我有用:)

    以前的帖子(无答案)

    我实际上遇到了同样的问题。

    它在更新到Django 1.2.5之后发生-在Django 1.2.4中AJAX POST请求没有错误(AJAX不受任何保护,但效果很好)。

    就像OP一样,我尝试了Django文档中发布的JavaScript代码段。我正在使用jQuery 1.5。我也在使用“ django.middleware.csrf.CsrfViewMiddleware”中间件。

    我尝试遵循中间件代码,但我知道它在此方面失败:

    request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '')
    

    接着

    if request_csrf_token != csrf_token:
        return self._reject(request, REASON_BAD_TOKEN)
    

    此“如果”为true,因为“ request_csrf_token”为空。

    基本上,这意味着未设置标头。那么此JS行有什么问题吗:

    xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
    

    我希望所提供的详细信息将有助于我们解决问题:)



  • 面试哥
    面试哥 2021-02-02
    为面试而生,有面试问题,就找面试哥。

    如果使用该$.ajax函数,则可以简单地将csrf令牌添加到数据主体中:

    $.ajax({
        data: {
            somedata: 'somedata',
            moredata: 'moredata',
            csrfmiddlewaretoken: '{{ csrf_token }}'
        },
    


知识点
面圈网VIP题库

面圈网VIP题库全新上线,海量真题题库资源。 90大类考试,超10万份考试真题开放下载啦

去下载看看