小编典典

Django CSRF 检查因 Ajax POST 请求而失败

all

我可以通过我的 AJAX 帖子使用一些帮助来遵守 Django 的 CSRF 保护机制。我已按照此处的说明进行操作:

http://docs.djangoproject.com/en/dev/ref/contrib/csrf/

我已经完全复制了他们在该页面上的 AJAX 示例代码:

http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax

getCookie('csrftoken')我在通话前设置了一个打印内容的警报xhr.setRequestHeader,它确实填充了一些数据。我不确定如何验证令牌是否正确,但我很高兴它正在查找和发送一些东西。

但是 Django 仍然拒绝我的 AJAX 帖子。

这是我的 JavaScript:

$.post("/memorize/", data, function (result) {
    if (result != "failure") {
        get_random_card();
    }
    else {
        alert("Failed to save card data.");
    }
});

这是我从 Django 看到的错误:

[23/Feb/2011 22:08:29]“POST /memorize/HTTP/1.1”403 2332

我确定我错过了一些东西,也许它很简单,但我不知道它是什么。我搜索了 SO 并看到了一些关于通过csrf_exempt装饰器关闭 CSRF
检查我的视图的信息,但我发现这没有吸引力。我已经尝试过了,它可以工作,但如果可能的话,我宁愿让我的 POST 以 Django 设计的方式工作。

以防万一它有帮助,这是我的观点的要点:

def myview(request):

    profile = request.user.profile

    if request.method == 'POST':
        """
        Process the post...
        """
        return HttpResponseRedirect('/memorize/')
    else: # request.method == 'GET'

        ajax = request.GET.has_key('ajax')

        """
        Some irrelevent code...
        """

        if ajax:
            response = HttpResponse()
            profile.get_stack_json(response)
            return response
        else:
            """
            Get data to send along with the content of the page.
            """

        return render_to_response('memorize/memorize.html',
                """ My data """
                context_instance=RequestContext(request))

感谢您的回复!


阅读 60

收藏
2022-06-27

共1个答案

小编典典

真正的解决方案

好的,我设法追查问题。它位于 Javascript(如下所示)代码中。

你需要的是这样的:

$.ajaxSetup({ 
     beforeSend: function(xhr, settings) {
         function getCookie(name) {
             var cookieValue = null;
             if (document.cookie && document.cookie != '') {
                 var cookies = document.cookie.split(';');
                 for (var i = 0; i < cookies.length; i++) {
                     var cookie = jQuery.trim(cookies[i]);
                     // Does this cookie string begin with the name we want?
                     if (cookie.substring(0, name.length + 1) == (name + '=')) {
                         cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                         break;
                     }
                 }
             }
             return cookieValue;
         }
         if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
             // Only send the token to relative URLs i.e. locally.
             xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
         }
     } 
});

而不是官方文档中发布的代码: https
://docs.djangoproject.com/en/2.2/ref/csrf/

工作代码来自这个 Django 条目: http:
//www.djangoproject.com/weblog/2011/feb/08/security/

所以一般的解决方案是:“使用 ajaxSetup 处理程序而不是 ajaxSend 处理程序”。我不知道为什么它有效。但它对我有用:)

上一篇(无答案)

我实际上遇到了同样的问题。

它发生在更新到 Django 1.2.5 之后 - Django 1.2.4 中的 AJAX POST 请求没有错误(AJAX
没有受到任何保护,但它工作得很好)。

就像 OP 一样,我尝试了 Django 文档中发布的 JavaScript 片段。我正在使用 jQuery
1.5。我也在使用“django.middleware.csrf.CsrfViewMiddleware”中间件。

我尝试遵循中间件代码,但我知道它在这方面失败了:

request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '')

接着

if request_csrf_token != csrf_token:
    return self._reject(request, REASON_BAD_TOKEN)

这个“如果”是真的,因为“request_csrf_token”是空的。

基本上这意味着没有设置标题。那么这条JS线有什么问题吗:

xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));

?

我希望提供的详细信息将帮助我们解决问题:)

2022-06-27