我可以通过我的 AJAX 帖子使用一些帮助来遵守 Django 的 CSRF 保护机制。我已按照此处的说明进行操作:
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/
我已经完全复制了他们在该页面上的 AJAX 示例代码:
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax
getCookie('csrftoken')我在通话前设置了一个打印内容的警报xhr.setRequestHeader,它确实填充了一些数据。我不确定如何验证令牌是否正确,但我很高兴它正在查找和发送一些东西。
getCookie('csrftoken')
xhr.setRequestHeader
但是 Django 仍然拒绝我的 AJAX 帖子。
这是我的 JavaScript:
$.post("/memorize/", data, function (result) { if (result != "failure") { get_random_card(); } else { alert("Failed to save card data."); } });
这是我从 Django 看到的错误:
[23/Feb/2011 22:08:29]“POST /memorize/HTTP/1.1”403 2332
我确定我错过了一些东西,也许它很简单,但我不知道它是什么。我搜索了 SO 并看到了一些关于通过csrf_exempt装饰器关闭 CSRF 检查我的视图的信息,但我发现这没有吸引力。我已经尝试过了,它可以工作,但如果可能的话,我宁愿让我的 POST 以 Django 设计的方式工作。
csrf_exempt
以防万一它有帮助,这是我的观点的要点:
def myview(request): profile = request.user.profile if request.method == 'POST': """ Process the post... """ return HttpResponseRedirect('/memorize/') else: # request.method == 'GET' ajax = request.GET.has_key('ajax') """ Some irrelevent code... """ if ajax: response = HttpResponse() profile.get_stack_json(response) return response else: """ Get data to send along with the content of the page. """ return render_to_response('memorize/memorize.html', """ My data """ context_instance=RequestContext(request))
感谢您的回复!
真正的解决方案
好的,我设法追查问题。它位于 Javascript(如下所示)代码中。
你需要的是这样的:
$.ajaxSetup({ beforeSend: function(xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) { // Only send the token to relative URLs i.e. locally. xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken')); } } });
而不是官方文档中发布的代码: https ://docs.djangoproject.com/en/2.2/ref/csrf/
工作代码来自这个 Django 条目: http: //www.djangoproject.com/weblog/2011/feb/08/security/
所以一般的解决方案是:“使用 ajaxSetup 处理程序而不是 ajaxSend 处理程序”。我不知道为什么它有效。但它对我有用:)
上一篇(无答案)
我实际上遇到了同样的问题。
它发生在更新到 Django 1.2.5 之后 - Django 1.2.4 中的 AJAX POST 请求没有错误(AJAX 没有受到任何保护,但它工作得很好)。
就像 OP 一样,我尝试了 Django 文档中发布的 JavaScript 片段。我正在使用 jQuery 1.5。我也在使用“django.middleware.csrf.CsrfViewMiddleware”中间件。
我尝试遵循中间件代码,但我知道它在这方面失败了:
request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '')
接着
if request_csrf_token != csrf_token: return self._reject(request, REASON_BAD_TOKEN)
这个“如果”是真的,因为“request_csrf_token”是空的。
基本上这意味着没有设置标题。那么这条JS线有什么问题吗:
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
?
我希望提供的详细信息将帮助我们解决问题:)