带有 Axios 的 Django CSRF 令牌

Question

带有 Axios 的 Django CSRF 令牌

Rya*_*anM 8 django cookies csrf vue.js axios

情况：

我正在尝试使用 Vue.js 作为我的前端和 Django 作为我的后端来构建一个完整的 SPA。这些系统是完全独立的（不是index.html由后端提供页面的混合应用程序）。

方法

我services在 Vue-CLI 生成的项目中创建了一个目录，该目录通过api.js文件（内容如下）为我的 REST API 提供一般可访问性：

import axios from "axios";
import Cookies from "js-cookie";

axios.defaults.xsrfHeaderName = "X-CSRFToken";
axios.defaults.xsrfCookieName = "csrftoken";

const BackEnd = "http://127.0.0.1:8000/"; //local backend from manage.py runserver

export default axios.create({
  baseURL: `${BackEnd}api/`,
  timeout: 5000,
  headers: {
    "Content-Type": "application/json",
    "X-CSRFToken": Cookies.get('csrftoken')
  }
});

Run Code Online (Sandbox Code Playgroud)

我怎么知道有这样的令牌可以得到？我编写了一个 API 端点，它在响应标头中提供令牌（如下所示）：

Access-Control-Allow-Origin: *
Content-Length: 77
Content-Type: application/json
Date: Sun, 19 Jul 2020 18:04:06 GMT
Server: WSGIServer/0.2 CPython/3.7.6
Set-Cookie: csrftoken=HdM4y6PPOB44cQ7DKmla7lw5hYHKVzTNG5ZZJ2PqAUWE2C79VBCJbpnTyfEdX3ke; expires=Sun, 18 Jul 2021 18:04:06 GMT; Max-Age=31449600; Path=/; SameSite=Lax
Vary: Cookie, Origin
X-Content-Type-Options: nosniff
X-Frame-Options: DENY

Run Code Online (Sandbox Code Playgroud)

问题

虽然我的 Django REST Framework API 正在为我的GET请求提供所有数据的创建工作，但我似乎无法csrftoken正确分配来验证我的POST请求。即使在我的 axios 请求中正确设置了 X-CSRFToken 标头，我仍然从服务器获得典型的 403（未设置 CSRF cookie）响应

请求头

Accept: application/json, text/plain, */*
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Connection: keep-alive
Content-Length: 247
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary9vOu1sBaQrXtXseR
DNT: 1
Host: 127.0.0.1:8000
Origin: http://127.0.0.1:8080
Referer: http://127.0.0.1:8080/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Safari/537.36
X-CSRFToken: T2Z7pzxKTAuCvBEIjkgRf8RGEEVLYfOyDYkYIcfkWCfSkPB76wCjMMizZvdTQPKg

Run Code Online (Sandbox Code Playgroud)

更新

好吧，现在这只是一种痛苦！我在 A) Set-Cookie 响应标头、B)csrftoken浏览器 cookie 中的值和 C) 在 axios POST 请求中有不同的令牌值。谁能帮我弄清楚这里发生了什么？

Answer 1

小智 -1

我只是在我的 vue 应用程序中使用了这个，一切都很顺利。

axios.defaults.xsrfCookieName = 'csrftoken';
axios.defaults.xsrfHeaderName = 'X-CSRFToken';

axios({
                    method: 'post',
                    url: 'http://127.0.0.1:8000/api/orders-update',
                    xstfCookieName: 'csrftoken',
                    xsrfHeaderName: 'X-CSRFToken',
                    data: updateIDs,
                    headers: {
                        'X-CSRFToken': 'csrftoken',
                    }
                }).then(response => console.log(response));

Run Code Online (Sandbox Code Playgroud)

归档时间：	5 年，3 月前
查看次数：	2240 次
最近记录：	4 年，2 月前