Django CSRF检查在Ajax POST请求中失败
我需要一些帮助,让我的AJAX请求符合Django的CSRF保护机制。我按照这里的说明进行了操作:
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/
我完全复制了他们页面上的AJAX示例代码:
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax
在调用xhr.setRequestHeader之前,我放了一个警告,打印getCookie('csrftoken')的内容,确实得到了数据。我不太确定如何验证这个令牌是否正确,但看到它找到了并发送了一些东西让我感到鼓舞。
但是Django还是拒绝了我的AJAX请求。
这是我的JavaScript代码:
$.post("/memorize/", data, function (result) {
if (result != "failure") {
get_random_card();
}
else {
alert("Failed to save card data.");
}
});
这是我从Django看到的错误信息:
[23/Feb/2011 22:08:29] "POST /memorize/ HTTP/1.1" 403 2332
我知道我一定漏掉了什么,可能很简单,但我不知道是什么。我在StackOverflow上搜索了一下,看到一些关于通过csrf_exempt装饰器关闭我的视图的CSRF检查的信息,但我觉得这样做不太好。我试过这样做,确实有效,但我更希望我的POST请求能按照Django的设计方式正常工作,如果可能的话。
为了方便起见,这里是我的视图大致在做什么:
def myview(request):
profile = request.user.profile
if request.method == 'POST':
"""
Process the post...
"""
return HttpResponseRedirect('/memorize/')
else: # request.method == 'GET'
ajax = request.GET.has_key('ajax')
"""
Some irrelevent code...
"""
if ajax:
response = HttpResponse()
profile.get_stack_json(response)
return response
else:
"""
Get data to send along with the content of the page.
"""
return render_to_response('memorize/memorize.html',
""" My data """
context_instance=RequestContext(request))
谢谢大家的回复!
23 个回答
在你的jQuery代码中加上这一行:
$.ajaxSetup({
data: {csrfmiddlewaretoken: '{{ csrf_token }}' },
});
就完成了。
如果你使用 $.ajax 这个函数,你只需要把 csrf 令牌加到数据内容里就可以了:
$.ajax({
data: {
somedata: 'somedata',
moredata: 'moredata',
csrfmiddlewaretoken: '{{ csrf_token }}'
},
真正的解决方案
好的,我找到了问题的根源。问题出在Javascript代码上(就像我下面提到的那样)。
你需要的是这个:
$.ajaxSetup({
beforeSend: function(xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
// Only send the token to relative URLs i.e. locally.
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
}
}
});
而不是官方文档中发布的代码:
https://docs.djangoproject.com/en/2.2/ref/csrf/有效的代码来自这个Django的文章:http://www.djangoproject.com/weblog/2011/feb/08/security/
所以一般的解决方案是:“使用ajaxSetup处理程序,而不是ajaxSend处理程序”。我不知道为什么这样有效,但对我来说确实有效 :)
之前的帖子(没有答案)
其实我也遇到了同样的问题。
这个问题出现在我更新到Django 1.2.5之后 - 在Django 1.2.4中,AJAX POST请求没有任何错误(AJAX没有受到任何保护,但运行得很好)。
和原帖作者一样,我尝试了Django文档中发布的JavaScript代码片段。我使用的是jQuery 1.5。我还使用了“django.middleware.csrf.CsrfViewMiddleware”中间件。
我试着跟踪这个中间件的代码,我知道它在这里失败了:
request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '')
然后
if request_csrf_token != csrf_token:
return self._reject(request, REASON_BAD_TOKEN)
这个“if”条件成立,因为“request_csrf_token”是空的。
基本上这意味着头部没有被设置。那么这行JS代码是否有问题:
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
?
我希望提供的细节能帮助我们解决这个问题 :)