d1s*_*ack 12 python django csrf django-csrf python-3.x
我无法理解为什么来自第三方网站的帖子被拒绝,即使该网站已添加到CSRF_TRUSTED_ORIGINSsettings.py 中的列表中。在发布说明 csrf 检查失败的帖子后,我收到了 403 错误。我认为添加该站点CSRF_TRUSTED_ORIGINS应该可以使该站点免受 csrf 检查。为了接收来自外部来源的帖子请求,我还应该做些什么吗?我正在运行 django 3.2
CSRF_TRUSTED_ORIGINS = ['site.lv']
请求标头:
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9,lv;q=0.8,ru;q=0.7
Cache-Control: no-cache
Connection: keep-alive
Content-Length: 899
Content-Type: application/x-www-form-urlencoded
Host: cvcentrs-staging.herokuapp.com
Origin: https://www.site.lv
Pragma: no-cache
Referer: https://www.site.lv/
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="96", "Microsoft Edge";v="96"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36 Edg/96.0.1054.62
小智 30
这个假设是错误的:
我认为将网站添加到 CSRF_TRUSTED_ORIGINS 应该可以使网站免受 csrf 检查。
添加 URLCSRF_TRUSTED_ORIGINS只是允许来自外部域上的表单的 POST 请求所需要做的一件事。您还需要:
csrf_token,并通过 POST 请求发送令牌。从 Django 4.0 开始,您必须将方案包含在CSRF_TRUSTED_ORIGINS:
CSRF_TRUSTED_ORIGINS = ['https://site.lv', 'https://www.site.lv']
小智 5
为了启用 CSRF_TRUSTED_ORIGINS 请按照以下步骤操作
pip install django-cors-headers已安装的应用程序
INSTALLED_APPS = [ 'corsheaders', ]中间件
MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', ]确保添加 https
CSRF_TRUSTED_ORIGINS = ['https://site.lv']
如果它仍然不起作用,请将此装饰器添加到函数之前的视图中
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def login(): pass
| 归档时间: |
|
| 查看次数: |
25222 次 |
| 最近记录: |