luc*_*uca 9 django csrf http-headers angularjs
我正在开发一个DJANGO + AngularJS应用程序,其中角度部分不是由django服务的.
我将角度设置$httpProvider如下:
myApp = angular.module('myApp', [])
myApp.config(['$httpProvider',
function(provider){
provider.defaults.xsrfCookieName = 'csrftoken';
provider.defaults.xsrfHeaderName = 'X-CSRFToken';
}
然后,在做任何POST之前,我做一个设置cookie的GET.我可以通过Chrome确认已设置Cookie:
set-cookie:csrftoken=hg88ZZFEdLPnwDdN1eiNquA8YzTySdQO; expires=Tue, 19-Aug-2014 12:26:35 GMT; Max-Age=31449600; Path=/
(它在Chrome开发人员工具的资源/ cookies/localhost中可见)
但是,当我执行POST时,没有X-CSRFToken设置标头
这是Chrome记录的POST:
POST /data/activities/search HTTP/1.1
Host: localhost:14080
Connection: keep-alive
Content-Length: 2
Accept: application/json, text/plain, */*
Origin: http://localhost:14080
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 Safari/537.36
Content-Type: application/json;charset=UTF-8
Referer: http://localhost:14080/public/html/main.html?codekitCB=398694184.799418
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=hg88ZZFEdLPnwDdN1eiNquA8YzTySdQO
为什么没有设置标头?我还应该做些什么才能激活此功能?
(旁注:如果我在$ http()调用中手动传递标头,则POST请求正常工作..因此问题实际上是AngularJS未设置的标头)
使用Safari或Firefox时,1.2.0更新对我来说还不够(Chrome一直都很好用).Safari和Firefox的问题是Django后端没有在HTTP响应中发送csrf-cookie.
我要做的是将@ensure_csrf_cookie装饰器添加到我的视图函数中,该函数为Angularjs构建页面.
@ensure_csrf_token
def my_view(request):
...
并在javascript文件中:
myApp.config(function($httpProvider) {
$httpProvider.defaults.xsrfCookieName = 'csrftoken';
$httpProvider.defaults.xsrfHeaderName = 'X-CSRFToken';
}
至少现在我不知道为什么Chrome没有它,但其他浏览器没有.
| 归档时间: |
|
| 查看次数: |
11083 次 |
| 最近记录: |