当前位置: 首页 > 面试题库 >

Python-Django CSRF检查失败,并带有Ajax POST请求

江亮
2023-03-14
问题内容

我可以通过我的AJAX帖子向遵循Django CSRF保护机制的人员提供帮助。我按照这里的指示进行:

http://docs.djangoproject.com/en/dev/ref/contrib/csrf/

我已经精确地复制了他们在该页面上拥有的AJAX示例代码:

http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax

getCookie('csrftoken')xhr.setRequestHeader呼叫之前打印了警报,并打印了的内容,确实在其中填充了一些数据。我不确定如何验证令牌是否正确,但是我鼓励它正在查找并发送一些消息。

但是Django仍然拒绝我的AJAX帖子。

这是我的JavaScript:

$.post("/memorize/", data, function (result) {
    if (result != "failure") {
        get_random_card();
    }
    else {
        alert("Failed to save card data.");
    }
});

这是我在Django中看到的错误:

[23 / Feb / 2011 22:08:29]“ POST / memorize / HTTP / 1.1” 403 2332

我确定我缺少某些东西,也许很简单,但是我不知道它是什么。我搜索了SO,并看到了一些有关通过csrf_exempt装饰器关闭CSRF检查以获取我的视图的信息,但是我发现这并不吸引人。我已经尝试过了,并且可以工作,但是我宁愿让POST按照Django期望的方式工作。

以防万一,这是我的观点要点:

def myview(request):

    profile = request.user.profile

    if request.method == 'POST':
        """
        Process the post...
        """
        return HttpResponseRedirect('/memorize/')
    else: # request.method == 'GET'

        ajax = request.GET.has_key('ajax')

        """
        Some irrelevent code...
        """

        if ajax:
            response = HttpResponse()
            profile.get_stack_json(response)
            return response
        else:
            """
            Get data to send along with the content of the page.
            """

        return render_to_response('memorize/memorize.html',
                """ My data """
                context_instance=RequestContext(request))

问题答案:

好的,我设法找出问题所在。它位于Javascript(如我在下面建议的)代码中。

你需要的是:

$.ajaxSetup({ 
     beforeSend: function(xhr, settings) {
         function getCookie(name) {
             var cookieValue = null;
             if (document.cookie && document.cookie != '') {
                 var cookies = document.cookie.split(';');
                 for (var i = 0; i < cookies.length; i++) {
                     var cookie = jQuery.trim(cookies[i]);
                     // Does this cookie string begin with the name we want?
                     if (cookie.substring(0, name.length + 1) == (name + '=')) {
                         cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                         break;
                     }
                 }
             }
             return cookieValue;
         }
         if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
             // Only send the token to relative URLs i.e. locally.
             xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
         }
     } 
});

而不是官方文档中发布的代码:https: //docs.djangoproject.com/en/2.2/ref/csrf/

工作代码来自以下Django条目:http : //www.djangoproject.com/weblog/2011/feb/08/security/

因此,一般的解决方案是:“使用ajaxSetup处理程序而不是ajaxSend处理程序”。我不知道为什么会这样。但这对我有用:)

以前的帖子(无答案)

我实际上遇到了同样的问题。

它在更新到Django 1.2.5之后发生-在Django 1.2.4中AJAX POST请求没有错误(AJAX不受任何保护,但效果很好)。

就像OP一样,我尝试了Django文档中发布的JavaScript代码段。我正在使用jQuery 1.5。我也在使用“ django.middleware.csrf.CsrfViewMiddleware”中间件。

我尝试遵循中间件代码,但我知道它在此方面失败:

request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '')

接着

if request_csrf_token != csrf_token:
    return self._reject(request, REASON_BAD_TOKEN)

此“如果”为true,因为“ request_csrf_token”为空。

基本上,这意味着未设置标头。那么此JS行有什么问题吗:

xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));

我希望所提供的详细信息将有助于我们解决问题:)



 类似资料:
  • 问题内容: 我可以通过我的AJAX帖子向遵循Django CSRF保护机制的人员提供帮助。我按照这里的指示进行: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ 我已经精确地复制了他们在该页面上拥有的AJAX示例代码: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax

  • 问题内容: 我用Java进行了selenium测试,并且正在做一些断言: 这是Selenium从IDE导出到Java Webdriver时生成的标准方法。 (是的,我想断言该元素不存在) 在上述代码行中进行测试时,我总是会收到错误消息:错误的元素引用:元素未附加到DOM 但是,当我在该步骤之前放置一个thread.sleep时,它可以工作。我没有得到的事实是,等待1毫秒就足够了。在断言之前等待通常

  • 我正在尝试使用AES/EAX/Nopadding执行加密/解密。由于EAX似乎没有BouncyCastle可用,所以BC被添加为提供程序。 null 我有一个AES/GCM/nopadding的实现,它使用了同样的代码,工作得很好。 我做错了什么?

  • 在使用IDEA Ultimate创建/克隆Spring项目时,我总是得到PKIX路径验证失败:Java . security . cert . certpathvalidatorexception:有效性检查失败 这是完整的错误消息 我似乎找不到与此问题相关的答案,那里有很多PKIX路径验证失败,但我似乎找不到我的问题的解决方案。

  • 使用Cookie访问经过身份验证的网页时,出现SSL错误。这似乎是一个mac特定的问题,许多人通过安装python证书来解决(正如我在下图的终端会话中尝试的那样),但是当我尝试安装时,会抛出一个异常()。 我应该如何修复此错误? 代码: 错误消息: 尝试的解决方案: 编辑5/19 附加终端会话(来自建议的解决方案): 编辑5/21 试图在项目中包含SSL,但引发错误。。这似乎是相关的,但是,当检查

  • 问题内容: 我正在尝试使用Flink 5.x Elasticsearch接收器连接器将数据插入到微型VM上托管的ES 5.2.1实例。 由于这是处于开发模式的微型VM,因此我无法使其启动以接受9300上的TransportClient远程客户端连接,而不会失败引导检查。 我已经尝试了以下设置,但无法启动(9200上的http客户端工作正常) 请注意,ES仅出于开发目的而在小型VM上运行,而我无权进