fir*_*ush 175 python django ajax csrf
我可以通过我的AJAX帖子使用一些符合Django的CSRF保护机制的帮助.我按照这里的指示:
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/
我已经完全复制了他们在该页面上的AJAX示例代码:
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax
我getCookie('csrftoken')在xhr.setRequestHeader打电话之前打印了一个警告打印内容,确实填充了一些数据.我不确定如何验证令牌是否正确,但我鼓励它发现并发送一些东西.
但是Django仍然拒绝我的AJAX帖子.
这是我的JavaScript:
$.post("/memorize/", data, function (result) {
if (result != "failure") {
get_random_card();
}
else {
alert("Failed to save card data.");
}
});
这是我从Django看到的错误:
[23/Feb/2011 22:08:29]"POST/memorize/HTTP/1.1"403 2332
我确定我错过了一些东西,也许这很简单,但我不知道它是什么.我一直在搜索SO,并看到一些关于通过csrf_exempt装饰器关闭CSRF检查我的视图的信息,但我发现它没有吸引力.我已经试过了,但它确实有效,但我宁愿让我的POST以Django的设计方式工作,如果可能的话.
为了防止它有用,这里是我的观点的主旨:
def myview(request):
profile = request.user.profile
if request.method == 'POST':
"""
Process the post...
"""
return HttpResponseRedirect('/memorize/')
else: # request.method == 'GET'
ajax = request.GET.has_key('ajax')
"""
Some irrelevent code...
"""
if ajax:
response = HttpResponse()
profile.get_stack_json(response)
return response
else:
"""
Get data to send along with the content of the page.
"""
return render_to_response('memorize/memorize.html',
""" My data """
context_instance=RequestContext(request))
谢谢你的回复!
Jak*_*ski 177
真正的解决方
好的,我设法追查问题了.它位于Javascript(我在下面建议)代码中.
你需要的是这个:
$.ajaxSetup({
beforeSend: function(xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
// Only send the token to relative URLs i.e. locally.
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
}
}
});
而不是官方文档中发布的代码:http: //docs.djangoproject.com/en/1.2/ref/contrib/csrf/#ajax
工作代码来自这个Django条目:http://www.djangoproject.com/weblog/2011/feb/08/security/
所以一般的解决方案是:"使用ajaxSetup处理程序而不是ajaxSend处理程序".我不知道为什么会这样.但它对我有用:)
上一篇文章(无回答)
我实际上遇到了同样的问题.
它发生在更新到Django 1.2.5之后 - 在Django 1.2.4中没有AJAX POST请求的错误(AJAX没有受到任何保护,但它工作得很好).
就像OP一样,我尝试过在Django文档中发布的JavaScript代码段.我正在使用jQuery 1.5.我也在使用"django.middleware.csrf.CsrfViewMiddleware"中间件.
我试图遵循中间件代码,我知道它失败了:
request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '')
然后
if request_csrf_token != csrf_token:
return self._reject(request, REASON_BAD_TOKEN)
这个"if"是真的,因为"request_csrf_token"是空的.
基本上它意味着标头没有设置.那个JS系列有什么问题:
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
?
我希望提供的详细信息将有助于我们解决问题:)
Bry*_*yan 158
如果使用该$.ajax功能,只需csrf在数据体中添加令牌即可:
$.ajax({
data: {
somedata: 'somedata',
moredata: 'moredata',
csrfmiddlewaretoken: '{{ csrf_token }}'
},
小智 73
将此行添加到您的jQuery代码:
$.ajaxSetup({
data: {csrfmiddlewaretoken: '{{ csrf_token }}' },
});
并做了.
小智 16
问题是因为django期望cookie的值作为表单数据的一部分传回.上一个答案中的代码是使用javascript来查找cookie值并将其放入表单数据中.从技术角度来看,这是一种可爱的方式,但看起来确实有些冗长.
在过去,我通过使用javascript将标记值放入发布数据中来更简单地完成它.
如果您在模板中使用{%csrf_token%},您将获得一个带有值的隐藏表单字段.但是,如果你使用{{csrf_token}},你将只获得令牌的裸值,所以你可以在这样的javascript中使用它....
csrf_token = "{{ csrf_token }}";
然后,您可以在哈希中包含所需的密钥名称,然后将其作为数据提交给ajax调用.
and*_*abs 13
在{% csrf_token %}HTML中把里面的模板<form></form>
转换为:
<input type='hidden' name='csrfmiddlewaretoken' value='Sdgrw2HfynbFgPcZ5sjaoAI5zsMZ4wZR' />
所以为什么不在你的JS中像这样grep它:
token = $("#change_password-form").find('input[name=csrfmiddlewaretoken]').val()
然后通过它,例如做一些POST,如:
$.post( "/panel/change_password/", {foo: bar, csrfmiddlewaretoken: token}, function(data){
console.log(data);
});
似乎没有人提到如何在纯 JS 中使用X-CSRFTokenheader 和来执行此操作{{ csrf_token }},因此这里有一个简单的解决方案,您无需搜索 cookie 或 DOM:
var xhttp = new XMLHttpRequest();
xhttp.open("POST", url, true);
xhttp.setRequestHeader("X-CSRFToken", "{{ csrf_token }}");
xhttp.send();
如果您的表单在没有JS的Django中正确发布,您应该能够使用ajax逐步增强它,而不会有任何黑客攻击或乱码传递csrf令牌.只需序列化整个表单,它将自动获取所有表单字段,包括隐藏的csrf字段:
$('#myForm').submit(function(){
var action = $(this).attr('action');
var that = $(this);
$.ajax({
url: action,
type: 'POST',
data: that.serialize()
,success: function(data){
console.log('Success!');
}
});
return false;
});
我用Django 1.3+和jQuery 1.5+测试了这个.显然这适用于任何HTML表单,而不仅仅是Django应用程序.
小智 8
非jquery回答:
var csrfcookie = function() {
var cookieValue = null,
name = 'csrftoken';
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = cookies[i].trim();
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
};
用法:
var request = new XMLHttpRequest();
request.open('POST', url, true);
request.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded; charset=UTF-8');
request.setRequestHeader('X-CSRFToken', csrfcookie());
request.onload = callback;
request.send(data);
将Firefox与Firebug结合使用。触发ajax请求时,打开“控制台”选项卡。有了DEBUG=Truedjango错误页面作为响应,您甚至可以在控制台选项卡中看到ajax响应的呈现的html。
然后,您将知道错误是什么。
接受的答案很可能是红鲱鱼.Django 1.2.4和1.2.5之间的区别是对AJAX请求的CSRF令牌的要求.
我在Django 1.3上遇到了这个问题,它是由CSRF cookie首先没有设置引起的.Django除非必须,否则不会设置cookie.因此,在Django 1.2.4上运行的独占或大量的ajax站点可能永远不会向客户端发送令牌,然后需要令牌的升级将导致403错误.
理想的解决方法是:http:
//docs.djangoproject.com/en/dev/ref/contrib/csrf/#page-uses-ajax-without-any-html-form
但你必须等待1.4除非这只是文档追赶代码
编辑
另请注意,后来的Django文档注意到jQuery 1.5中的一个错误,因此请确保使用1.5.1或更高版本的Django建议代码:http: //docs.djangoproject.com/en/1.3/ref/contrib/csrf/#阿贾克斯