那些遇到过的问题

Django - Forbidden(未设置CSRF cookie.)

Tho*_*mas 5 django django-forms django-csrf

我有一个中等流量的Django网站(每天大约4000/5000次访问).今天我在settings.py上配置了"LOGGING"选项,发送一个"Info"级别的电子邮件,只检查一切是否正常......

令我惊讶的是,我收到以下错误:[Django]警告(外部IP):禁止(CSRF cookie未设置.)

No stack trace available

<WSGIRequest
path:/cadastro/usuario/,
GET:<QueryDict: {}>,
POST:<QueryDict: {**xxxxxxx (some varibles....) and**: u'csrfmiddlewaretoken': [u'4wqRKQXZsTmXJaOkCsGobWyG1rzihc8x'], }>,
COOKIES:{},
META:{'CONTENT_LENGTH': '381',
 'CONTENT_TYPE': 'application/x-www-form-urlencoded',
 'CSRF_COOKIE': 'qzc4i7JdHoQLJ8N5aI9MTlamOZMOKmP0',
 'DOCUMENT_ROOT': '/opt/nginx/html',
 'HTTP_ACCEPT': 'text/html, application/xhtml+xml, */*',
 'HTTP_ACCEPT_ENCODING': 'gzip, deflate',
 'HTTP_ACCEPT_LANGUAGE': 'pt-BR',
 'HTTP_CACHE_CONTROL': 'no-cache',
 'HTTP_CONNECTION': 'Keep-Alive',
 'HTTP_CONTENT_LENGTH': '381',
 'HTTP_CONTENT_TYPE': 'application/x-www-form-urlencoded',
 'HTTP_HOST': 'xxxxxx',
 'HTTP_REFERER': 'http://xxxx/y/z',
 'HTTP_USER_AGENT': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)',
 'PATH_INFO': u'/y/z',
 'QUERY_STRING': '',
 'REMOTE_ADDR': '187.27.35.123',
 'REMOTE_PORT': '54221',
 'REQUEST_METHOD': 'POST',
 'REQUEST_URI': 'y/z',
 'SCRIPT_NAME': u'',
 'SERVER_NAME': 'xxxxxxx',
 'SERVER_PORT': '80',
 'SERVER_PROTOCOL': 'HTTP/1.1',
 'uwsgi.version': '0.9.6.5',
 'wsgi.errors': <open file 'wsgi_input', mode 'w' at 0xa126338>,
 'wsgi.file_wrapper': <built-in function uwsgi_sendfile>,
 'wsgi.input': <open file 'wsgi_input', mode 'r' at 0xa126a70>,


 'wsgi.multiprocess': True,
 'wsgi.multithread': False,
 'wsgi.run_once': False,
 'wsgi.url_scheme': 'http',
 'wsgi.version': (1, 0)}>
Run Code Online (Sandbox Code Playgroud)

我试图重现这个错误,但我不能.我在Firefox和Chrome上测试,清理了所有的cookie ......一切都很好.但我得到这个错误十几次,总是使用不同的IP,所以我认为它不是攻击...我的所有表单都有{%csrf_token%}django.middleware.csrf.CsrfViewMiddleware在MIDDLEWARE_CLASSES上配置.

上面的日志消息很清楚,CSRF_COOKIE不是空的.我正在使用Django 1.4.

[更新]我认为这些用户没有启用cookie ...所以......问题是:如何在没有启用cookie的用户中使用CSRF?

jdi*_*jdi 2

正如我在主要评论中提到的,当由于 CSRF 失败而引发 403 时,您将看到该错误。

您无需担心尝试针对未启用 cookie 的用户处理 CSRF 保护。CSRF 攻击的本质要求使用浏览器 cookie。如果不使用它们,受 CSRF 保护的请求将会失败(如您所见)。因此,您仍然受到保护。

Django 允许您设置在 CSRF 失败时用于客户端的特定视图:https ://docs.djangoproject.com/en/dev/ref/settings/#std%3asetting-CSRF_FAILURE_VIEW

实际上,除了注意到有些请求试图以无效方式 POST 到您的服务器之外,您不需要做任何事情。

归档时间:

查看次数:

15343 次

最近记录:

10 年 前
CSRF cookie未设置django ...验证失败 4
更多相关链接
相关归档
如何查看字符串是否包含Django模板中的另一个字符串 51
Django网站有2种语言 29
将Cloudfront与Django S3Boto配合使用 19
如何在Django Admin中隐藏HiddenInput小部件的字段标签? 17
如何更改django datetime格式输出? 14
为什么在Django dev服务器中运行两次? 11
ImportError:“测试”模块不正确 11
Graphene-Django 和多对多关系查找 8
修补Django表单类的猴子? 6
Django形式:使用它们的理由? 2
难疑归档
grep一个文件,但显示几个周围的行? 3277
"git add -A"和"git add"之间的区别. 2788
使用jQuery禁用/启用输入? 2216
将Git分支合并到master中的最佳(也是最安全)方法是什么? 1977
如何在macOS或OS X上安装pip? 1676
按值复制数组 1638
短路Array.forEach就像调用break 1429
何时使用struct? 1347
在调用instanceof之前需要进行空检查吗? 1287
抵消html锚点以调整固定标题 1056