Django CSRF检查失败,发出Ajax POST请求

我可以通过我的AJAX文章使用一些帮助来遵守Django的CSRF保护机制。 我已经按照这里的方向:

http://docs.djangoproject.com/en/dev/ref/contrib/csrf/

我已经完全复制了他们在页面上的AJAX示例代码:

http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax

我在xhr.setRequestHeader调用之前放置了一个打印getCookie('csrftoken')的内容的警报,并且确实填充了一些数据。 我不知道如何validation令牌是否正确,但我鼓励它发现并发送一些东西。

但是Django仍然拒绝我的AJAX文章。

这是我的JavaScript:

 $.post("/memorize/", data, function (result) { if (result != "failure") { get_random_card(); } else { alert("Failed to save card data."); } }); 

这是我从Django看到的错误:

[23 / Feb / 2011 22:08:29]“POST / memorize / HTTP / 1.1”403 2332

我确定我错过了一些东西,也许这很简单,但我不知道它是什么。 我已经search过所以看到一些关于通过csrf_exempt装饰器closures我的视图的CSRF检查的一些信息,但我觉得没有吸引力。 我已经试过了,它的工作原理,但我宁愿让我的POST工作的方式Django的devise,如果可能的话。

为了以防万一,这是我的观点的主旨:

 def myview(request): profile = request.user.profile if request.method == 'POST': """ Process the post... """ return HttpResponseRedirect('/memorize/') else: # request.method == 'GET' ajax = request.GET.has_key('ajax') """ Some irrelevent code... """ if ajax: response = HttpResponse() profile.get_stack_json(response) return response else: """ Get data to send along with the content of the page. """ return render_to_response('memorize/memorize.html', """ My data """ context_instance=RequestContext(request)) 

感谢您的回复!

真的解决

好吧,我设法跟踪了这个问题。 它位于Javascript(如我所build议的)代码中。

你需要的是这样的:

 $.ajaxSetup({ beforeSend: function(xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) { // Only send the token to relative URLs ie locally. xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken')); } } }); 

而不是在官方文档中发布的代码: http : //docs.djangoproject.com/en/1.2/ref/contrib/csrf/#ajax

工作代码来自这个Django条目: http : //www.djangoproject.com/weblog/2011/feb/08/security/

所以一般的解决scheme是:“使用ajaxSetup处理程序而不是ajaxSend处理程序”。 我不知道它为什么起作用。 但它适用于我:)

以前的post(没有回答)

实际上我遇到了同样的问题。

它发生在更新到Django 1.2.5之后 – Django 1.2.4中的AJAX POST请求没有错误(AJAX没有以任何方式保护,但工作得很好)。

就像OP一样,我尝试了Django文档中发布的JavaScript片段。 我正在使用jQuery 1.5。 我也使用“django.middleware.csrf.CsrfViewMiddleware”中间件。

我试图按照中间件代码,我知道它在这个失败:

 request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '') 

接着

 if request_csrf_token != csrf_token: return self._reject(request, REASON_BAD_TOKEN) 

这个“if”是真的,因为“request_csrf_token”是空的。

基本上这意味着头没有设置。 那么这个JS系列有什么问题:

 xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken')); 

我希望提供的细节将帮助我们解决问题:)

如果使用$.ajax函数,则只需在数据体中添加csrf标记即可:

 $.ajax({ data: { somedata: 'somedata', moredata: 'moredata', csrfmiddlewaretoken: '{{ csrf_token }}' }, 

将这行添加到您的jQuery代码中:

 $.ajaxSetup({ data: {csrfmiddlewaretoken: '{{ csrf_token }}' }, }); 

并做了。

这个问题是因为Django希望cookie中的值作为表单数据的一部分被传回。 从以前的答案的代码是获取JavaScript寻找cookie值,并将其放入表单数据。 这从技术的angular度来看是一个可爱的方式,但它看起来有点冗长。

在过去,我更简单地通过获取javascript来将令牌值放入发布数据中。

如果您在模板中使用{%csrf_token%},则会得到一个隐藏的表单字段,其中包含该值。 但是,如果你使用{{csrf_token}},你只会得到标记的价值,所以你可以像这样在JavaScript中使用这个….

 csrf_token = "{{ csrf_token }}"; 

然后你可以在hash中包含那个所需的键名,然后把它作为数据提交给ajax调用。

{% csrf_token %}放在<form></form> html模板中

翻译成以下内容:

 <input type='hidden' name='csrfmiddlewaretoken' value='Sdgrw2HfynbFgPcZ5sjaoAI5zsMZ4wZR' /> 

所以为什么不把它在你的JS这样的grep:

 token = $("#change_password-form").find('input[name=csrfmiddlewaretoken]').val() 

然后通过它,例如做一些POST,如:

 $.post( "/panel/change_password/", {foo: bar, csrfmiddlewaretoken: token}, function(data){ console.log(data); }); 

如果您的表单在没有JS的Django中正确发布,您应该能够逐渐增强它与Ajax没有任何黑客或混乱的csrf标记传递。 只需序列化整个表单,并自动获取所有表单字段, 包括隐藏的csrf字段:

 $('#myForm').submit(function(){ var action = $(this).attr('action'); var that = $(this); $.ajax({ url: action, type: 'POST', data: that.serialize() ,success: function(data){ console.log('Success!'); } }); return false; }); 

我用Django 1.3+和jQuery 1.5+testing了这个。 显然这将适用于任何HTML表单,而不仅仅是Django应用程序。

被接受的答案很可能是一个红鲱鱼。 Django 1.2.4和1.2.5之间的区别是需要AJAX请求的CSRF令牌。

我在Django 1.3上遇到了这个问题,这是由于CSRF cookie不是首先被设置的。 除非必须,否则Django不会设置cookie。 所以在Django 1.2.4上运行的ajax站点可能永远不会发送令牌给客户端,然后需要令牌的升级会导致403错误。

理想的解决方法在这里: http : //docs.djangoproject.com/en/dev/ref/contrib/csrf/#page-uses-ajax-without-any-html-form
但是你不得不等待1.4,除非这只是文档追踪代码

编辑

还要注意,后面的Django文档logging了jQuery 1.5中的一个错误,因此请确保您使用的是1.5.1或更高版本的Djangobuild议代码: http : //docs.djangoproject.com/en/1.3/ref/contrib/csrf/#阿贾克斯

使用Firefox和Firebug。 在发射ajax请求时打开“控制台”选项卡。 使用DEBUG=True你可以得到好的django错误页面,你甚至可以在控制台标签中看到ajax响应的呈现html。

那么你会知道错误是什么。

非jQuery的答案:

 var csrfcookie = function() { var cookieValue = null, name = 'csrftoken'; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = cookies[i].trim(); if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; }; 

用法:

 var request = new XMLHttpRequest(); request.open('POST', url, true); request.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded; charset=UTF-8'); request.setRequestHeader('X-CSRFToken', csrfcookie()); request.onload = callback; request.send(data); 

我刚刚遇到了一些不同但类似的情况。 不是100%确定它是否可以解决你的问题,但是我通过设置一个POST参数'csrfmiddlewaretoken'来解决Django 1.3的问题,这个参数通常是由Django带有“{%csrf_token%}”标记的模板系统。 我没有尝试Django,只是发生并在Django1.3上解决。 我的问题是,通过Ajax从表单提交的第一个请求已经成功完成,但是第二次尝试从失败的完全相同,导致了403状态,即使标头“X-CSRFToken”正确放置了CSRF标记值就像第一次尝试的情况一样。 希望这可以帮助。

问候,

一个CSRF令牌被分配给每个会话(即每次login时)。 所以,在你想获得用户input的一些数据,并将其作为ajax调用发送给csrf_protect装饰器保护的某个函数之前,请先从用户处获取这些数据,然后尝试查找正在调用的函数。 例如,您的用户input数据时必须呈现一些模板。 该模板正在被某个函数渲染。 在这个函数中,你可以得到csrf标记,如下所示:csrf = request.COOKIES ['csrftoken']现在在上下文字典中传递这个csrf的值,对应的模板被渲染。 现在在这个模板中写下这一行:现在在你的javascript函数中,在发出一个jax请求之前,写下:var csrf = $('#csrf')。val()这将会select传递给模板的标记值,并将其存储在variablesCSRF。 现在在进行Ajax调用的时候,在你的发布数据中也要传递这个值:“csrfmiddlewaretoken”:csrf

即使你没有实现django表单,这也可以工作。

事实上,这里的逻辑是:你需要令牌,你可以从请求中获得。 所以你只需要在login后立即找出被调用的函数。一旦你有了这个令牌,可以再次调用ajax来获得它,或者把它传递给你的ajax可以访问的模板。

在我的情况下,问题是我已经从主服务器复制到临时的nginxconfiguration禁用HTTPS,而不需要在第二个过程中。

我不得不在configuration中注释掉这两行,以使其重新工作:

 # uwsgi_param UWSGI_SCHEME https; # uwsgi_pass_header X_FORWARDED_PROTO; 

你可以将这个js粘贴到你的html文件中,记得把它放在其他的js函数之前

 <script> // using jQuery function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $(document).ready(function() { var csrftoken = getCookie('csrftoken'); $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } }); }); </script> 

对于遇到此问题并正在尝试debugging的人员:

1)django csrf检查(假设你正在发送一个)在这里

2)在我的情况下, settings.CSRF_HEADER_NAME被设置为“HTTP_X_CSRFTOKEN”,我的AJAX调用发送一个名为“HTTP_X_CSRF_TOKEN”的标题,所以东西不工作。 我可以改变它的AJAX调用,或Django的设置。

3)如果你select改变它的服务器端,find你的django的安装位置,并在csrf middleware抛出一个断点。如果你使用的是virtualenv ,它会是这样的: ~/.envs/my-project/lib/python2.7/site-packages/django/middleware/csrf.py

 import ipdb; ipdb.set_trace() # breakpoint!! if request_csrf_token == "": # Fall back to X-CSRFToken, to make things easier for AJAX, # and possible for PUT/DELETE. request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, '') 

然后,确保csrf标记正确地来自request.META

4)如果你需要改变你的标题等 – 改变你的设置文件中的variables

如果有人为了做这项工作而苦苦挣扎,这帮助了我:

 import axios from 'axios'; axios.defaults.xsrfCookieName = 'csrftoken' axios.defaults.xsrfHeaderName = 'X-CSRFToken' 

资料来源: https : //cbuelter.wordpress.com/2017/04/10/django-csrf-with-axios/

似乎没有人提到过如何在纯JS中使用X-CSRFToken头和{{ csrf_token }}来做到这一点,所以这里有一个简单的解决scheme,你不需要通过cookies或DOM进行search:

 var xhttp = new XMLHttpRequest(); xhttp.open("POST", url, true); xhttp.setRequestHeader("X-CSRFToken", "{{ csrf_token }}"); xhttp.send();