那些遇到过的问题

Django @csrf_exempt在类视图中不起作用

Car*_*los 8 django django-csrf python-3.x django-rest-framework

我在Django 1.9中有一个使用SessionMiddleware的应用程序。我想在同一项目中为此应用程序创建一个API,但是在执行POST请求时,它不起作用@csrf_exempt批注。

我正在处理引发Postman的请求,这是我到目前为止的结果:

settings.py

MIDDLEWARE_CLASSES = [
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.cache.UpdateCacheMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'a9.utils.middleware.LocaleMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'a9.core.access.middleware.AccessMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'django.middleware.cache.FetchFromCacheMiddleware',    
]

OAUTH2_PROVIDER = {
    # this is the list of available scopes
    'SCOPES': {'read': 'Read scope', 'write': 'Write scope', 'groups': 'Access to your groups'}
}

CORS_ORIGIN_ALLOW_ALL = True
CORS_ALLOW_METHODS = (
    'DELETE',
    'GET',
    'OPTIONS',
    'PATCH',
    'POST',
    'PUT',
)
CORS_ALLOW_HEADERS = (
    'accept',
    'accept-encoding',
    'authorization',
    'content-type',
    'dnt',
    'origin',
    'user-agent',
    'x-csrftoken',
    'x-requested-with',
)

REST_FRAMEWORK = {
    # Use Django's standard `django.contrib.auth` permissions,
    # or allow read-only access for unauthenticated users.
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.DjangoModelPermissionsOrAnonReadOnly',
        #'rest_framework.permissions.IsAuthenticated',
    ],
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'oauth2_provider.ext.rest_framework.OAuth2Authentication',
        #'rest_framework.authentication.TokenAuthentication',
    )
}
Run Code Online (Sandbox Code Playgroud)

urls.py

urlpatterns = [
    url(r'^v1/', include([
        url(r'^', include(router.urls)),
        url(r'^auth/', MyAuthentication.as_view()),
        url(r'^o/', include('oauth2_provider.urls', namespace='oauth2_provider')),
        url(r'^admin/', include(admin.site.urls)),
    ])),
]
Run Code Online (Sandbox Code Playgroud)

views.py

@method_decorator(csrf_exempt, name='dispatch')
class MyAuthentication(TemplateView):

    def post(self, request, *args, **kwargs):

        return HttpResponse('Hello, World!')
Run Code Online (Sandbox Code Playgroud)

此后,我总是得到CSRF验证失败的错误。

我在django-rest-framework的IRC频道中问了这个问题,但我仍然没有答案。请,任何建议将不胜感激。

Lin*_*via 7

不要csrf_exempt与 Django REST 框架一起使用。

这将不起作用,因为 SessionAuthentication 无论如何都会强制执行 csrf 检查。

请确保在 AJAX 请求中使用 csrf 令牌。Django 有一个关于它的综合文档

  • 正如我在问题中提到的,我需要为 API 应用程序免除 csrf 令牌,以允许其他客户端使用端点。问题不在于 AJAX 请求,而在于如何使会话中间件适用于其他应用程序,即移动设备,而无需将其从现有项目中删除。 (4认同)

Car*_*los 6

我找到了解决这个问题的方法。您需要创建一个在任何会话中间件之前调用的中间件,然后检查所需的 url 或应用程序以免除 CSRF 令牌验证。所以,代码会是这样的:

设置.py

MIDDLEWARE_CLASSES = [
    'api.middleware.DisableCSRF',  # custom middleware for API
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.cache.UpdateCacheMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'a9.utils.middleware.LocaleMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'a9.core.access.middleware.AccessMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'django.middleware.cache.FetchFromCacheMiddleware',
]
Run Code Online (Sandbox Code Playgroud)

网址.py

app_name = "api"

urlpatterns = [
    url(r'^v1/', include([
        url(r'^', include(router.urls)),
        url(r'^auth/', MyAuthentication.as_view()),
        url(r'^o/', include('oauth2_provider.urls', namespace='oauth2_provider')),
        url(r'^admin/', include(admin.site.urls)),
    ])),
]
Run Code Online (Sandbox Code Playgroud)

csrf_disable.py

from django.core.urlresolvers import resolve
# django2

    
class DisableCSRF(object):
    """Middleware for disabling CSRF in an specified app name.
    """

    def process_request(self, request):
        """Preprocess the request.
        """
        app_name = "api"
        if resolve(request.path_info).app_name == app_name:
            setattr(request, '_dont_enforce_csrf_checks', True)
        else:
            pass  # check CSRF token validation
Run Code Online (Sandbox Code Playgroud)

这只会根据特定的应用程序或网址检查 CSRF 令牌,而不会删除所有 CSRF。此外,这是 django-rest-framework 独立的:)

Edw*_*ndo 5

您需要装饰方法csrf_exempt内部dispatch

class MyView(FormView):

    @method_decorator(csrf_exempt)
    def dispatch(self, *args, **kwargs):
        return super(MyView, self).dispatch(*args, **kwargs)

    def post(self, request, *args, **kwargs):
        # ....
        return super(MyView, self).post(request, *args, **kwargs)
Run Code Online (Sandbox Code Playgroud)

  • 这就是@method_decorator(csrf_exempt, name='dispatch') 所做的 (3认同)

归档时间:

查看次数:

5322 次

最近记录:

9 年,5 月 前
相关归档
Django:恢复后尝试访问数据库时拒绝权限(迁移) 36
如何使用google customsearch API查询高级搜索? 13
CSRF 失败:来源检查失败 - http://localhost:8000/ 与任何可信来源不匹配 12
使用Numpy进行类似MATLAB的数组索引 10
Django QuerySet .count() 为 0 并且 .exists() 为 false,即使 QuerySet 中有一个对象(Django Rest Framework) 10
打包具有外部依赖关系的django应用程序 9
PyCharm 上的 python3 导入问题 6
Django Rest Framework按指定的GET参数分页 5
如何检查请求中的 URL 是否可下载 5
DRF 中的 request.data v/s serializers.data 在 DRF 3
难疑归档
C++中指针变量和引用变量之间有什么区别? 3115
"最小的惊讶"和可变的默认论证 2458
如何从Java中的字符串值获取枚举值? 1890
如何将包含历史记录的SVN存储库迁移到新的Git存储库? 1486
何时使用虚拟析构函数? 1420
Markdown中的评论 1277
如何使用自定义对象对NSMutableArray进行排序? 1253
命名类 - 如何避免将所有内容称为"<WhatEver> Manager"? 1147
这是什么意思?"'NSUnknownKeyException',原因:...此类不是键值X的键值编码兼容" 1143
在React JSX中循环 1131