Django Rest Framework,ajax POST工作但PATCH抛出CSRF失败:CSRF令牌丢失或不正确

Question

我正在将我的项目移植到Django Rest Framework为我的项目制作一个合适的REST Api,我认为它有助于大量设计API并使其健壮但我遇到了一个问题:

我有一个入门模型和相关的ListCreateAPIView和RetrieveUpdateDestroyAPIView视图.我可以通过ajax请求在列表中成功发布一个新的条目实例,并csrfmiddlewaretoken按照我在常规Django View中的方式提供.

    POST entries/

现在我尝试使用相同的方法将补丁应用于现有实例csrfmiddlewaretoken:

    PATCH entries/3

然后响应状态代码是403 FORBIDDEN错误的,CSRF Failed: CSRF token missing or incorrect尽管我检查csrfmiddlewaretoken了请求数据中的firebux .

我没有错,我无法找到代码中的哪个地方被拒绝了.

注意:我可以使用Django Rest Framework可浏览的api 修补对象.

我希望有人能帮帮忙.谢谢.奥利维尔

编辑

我正在深入研究代码,看看PATCH请求的拒绝发生在哪里,我发现django.middleware.csrt.py如下:

        if csrf_token is None: #<--- csrf_token is defined
            # No CSRF cookie. For POST requests, we insist on a CSRF cookie,
            # and in this way we can avoid all CSRF attacks, including login
            # CSRF.
            return self._reject(request, REASON_NO_CSRF_COOKIE)

        # Check non-cookie token for match.
        request_csrf_token = ""
        if request.method == "POST": #<--- This fails but request_csrf_token is in request.DATA
            request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')

        if request_csrf_token == "":
            # Fall back to X-CSRFToken, to make things easier for AJAX,
            # and possible for PUT/DELETE.
            request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '')

第二个测试失败,因为它不是POST请求,但所需信息在request.DATA中.所以似乎django不热衷于接受PATCH请求.您认为最好的解决方法是什么？

您是否建议使用其他身份验证系统(Django-rest-framework文档中有一些)？

EDIT2

我发现了一个解决方案:我发现可浏览的api实际上是发送一个POST请求,但是带有一个参数_method ="PATCH",所以我对我的ajax请求做了同样的事情并且工作正常.

我不知道这是否是正确的方法,欢迎任何反馈和意见!

EDIT3

因此,经过更多阅读后,我发现(我已经知道了......)由于某些浏览器不支持PUT,PATCH,DELETE等请求,所以要采用X-HTTP-Method-Override发送发布请求在标题中.

所以我认为最好的方法是做以下事情:

$.ajax({
   headers: {
    'X-HTTP-Method-Override': 'PATCH'
   },
   type : "POST",
   ...
});

Answer 1

我最后补充一下作为答案.

因此,经过更多阅读后,我发现(我已经知道了......)由于某些浏览器不支持PUT,PATCH,DELETE等请求,所以要采用X-HTTP-Method-Override发送发布请求在标题中.

所以我认为最好的方法是做以下事情:

$.ajax({
    headers: {
        'X-HTTP-Method-Override': 'PATCH'
    },
    type : "POST",
...
});

Answer 2

我也遇到了同样的问题，我学习了@overlii解决问题的方法。我使用 django rest 框架 web 界面来做put/patch，我发现HTTP Request Headers信息如下： HTTP 请求标头

从这张图片中，我们可以找到X-CSRFTOKEN标题，所以我设置了 ajax 标题信息，如下所示：

$.ajax({
        headers: {
            'X-CSRFTOKEN': '{{ csrf_token }}'
        },
        type: "PATCH",
        dataType: "json",
        url: "/api/path/",
        data: "",
        success: function(data){
                
        }
})?

我用这种方式发送补丁请求，发现可以正常运行！