CSRF 验证失败。请求中止
Posted
技术标签:
【中文标题】CSRF 验证失败。请求中止【英文标题】:CSRF verification failed. Request aborted 【发布时间】:2012-05-10 09:49:36 【问题描述】:我尝试建立一个非常简单的网站,可以将数据添加到 sqlite3 数据库中。我有一个带有两个文本输入的 POST 表单。
index.html:
% if top_list %
<ul>
<b><pre>Name Total steps</pre></b>
% for t in top_list %
<pre>t.name t.total_steps</pre>
% endfor %
</ul>
% else %
<p>No data available.</p>
% endif %
<br>
<form action="/steps_count/" method="post">
% csrf_token %
Name: <input type="text" name="Name" /><br />
Steps: <input type="text" name="Steps" /><br />
<input type="submit" value="Add" />
</form>
forms.py:
from django import forms
from steps_count.models import Top_List
class Top_List_Form(forms.ModelForm):
class Meta:
model=Top_List
views.py:
# Create your views here.
from django.template import Context, loader
from django.http import HttpResponse
from steps_count.models import Top_List
from steps_count.forms import Top_List_Form
from django.template import RequestContext
from django.shortcuts import get_object_or_404, render_to_response
def index(request):
if request.method == 'POST':
#form = Top_List_Form(request.POST)
print "Do something"
else:
top_list = Top_List.objects.all().order_by('total_steps').reverse()
t = loader.get_template('steps_count/index.html')
c = Context('top_list': top_list,)
#output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list])
return HttpResponse(t.render(c))
但是,当我单击“提交”按钮时,出现 403 错误:
CSRF verification failed. Request aborted.
我在 index.html 中包含了% csrf_token %。但是,如果是 RequestContext 问题,我真的不知道在哪里以及如何使用它。我希望一切都发生在同一页面上 (index.html)。
【问题讨论】:
还要确保您的浏览器接受 cookie。 【参考方案1】:您可能错过了在表单中添加以下内容:
% csrf_token %
【讨论】:
【参考方案2】:使用自动添加RequestContext 的render shortcut。
from django.http import HttpResponse
from django.shortcuts import get_object_or_404, render
from steps_count.models import Top_List
from steps_count.forms import Top_List_Form
def index(request):
if request.method == 'POST':
#form = Top_List_Form(request.POST)
return HttpResponse("Do something") # methods must return HttpResponse
else:
top_list = Top_List.objects.all().order_by('total_steps').reverse()
#output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list])
return render(request,'steps_count/index.html','top_list': top_list)
【讨论】:
【参考方案3】:当您发现此类消息时,表示 CSRF 令牌丢失或不正确。所以你有两个选择。
对于 POST 表单,您需要确保:
您的浏览器正在接受 cookie。
在模板中,每个 POST 表单内都有一个 % csrf_token % 模板标签,以内部 URL 为目标。
另一种简单的方法是在设置选项卡的 MIDDLEWARE_CLASSES 中仅注释一行 (NOT RECOMMENDED)('django.middleware.csrf.CsrfViewMiddleware')。
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
# 'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
)
【讨论】:
感谢第二部分。我根本不需要那个! :) 关闭 CSRF 是不是解决方案。请不要那样做。 (答案的第 2 部分)【参考方案4】:解决此问题的更好的替代方法是使用'@csrf_exempt' 注释。
使用Django 3.1.1,您可以在您的方法中使用@csrf_exempt。
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def index(request):
而且您无需在 html 中指定 % csrf_token %。
学习愉快..
【讨论】:
是from django.views.csrf.decorators import csrf_exempt 而不是from django.views.decorators import csrf_exempt
这是适用于 Django 3.1.1 的解决方案,但您需要 from django.views.decorators.csrf import csrf_exempt【参考方案5】:
这里的一个常见错误是使用 render_to_response(这在较早的教程中通常使用),它不会自动包含 RequestContext。渲染会自动包含它。
在按照教程创建新应用时了解到这一点,但 CSRF 不适用于新应用中的页面。
【讨论】:
【参考方案6】:在您的 HTML 标题中,添加
<meta name="csrf_token" content=" csrf_token ">
然后在你的 JS/angular 配置中:
app.config(function($httpProvider)
$httpProvider.defaults.headers.post['X-CSRFToken'] = $('meta[name=csrf_token]').attr('content');
【讨论】:
【参考方案7】:如果您使用 DRF,则需要添加 @api_view(['POST'])
【讨论】:
【参考方案8】:function yourFunctionName(data_1,data_2)
context =
context['id'] = data_1
context['Valid'] = data_2
$.ajax(
beforeSend:function(xhr, settings)
function getCookie(name)
var cookieValue = null;
if (document.cookie && document.cookie != '')
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++)
var cookie = jQuery.trim(cookies[i]);
if (cookie.substring(0, name.length + 1) == (name + '='))
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
return cookieValue;
if (settings.url == "your-url")
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
,
url: "your-url",
type: "POST",
data: JSON.stringify(context),
dataType: 'json',
contentType: 'application/json'
).done(function( data )
);
【讨论】:
你应该这样写你的ajax。【参考方案9】:如果您输入%csrf_token% 后仍然遇到同样的问题,请尝试更改您的角度版本。这对我有用。最初我在使用 angular 1.4.x 版本时遇到了这个问题。在我将其降级为 angular 1.2.8 后,我的问题得到了解决。不要忘记添加 angular-cookies.js 并将其放在您的 js 文件中。
如果您使用发布请求。
app.run(function($http, $cookies)
console.log($cookies.csrftoken);
$http.defaults.headers.post['X-CSRFToken'] = $cookies.csrftoken;
);
【讨论】:
【参考方案10】:使用装饰器:
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def method_name():
# body
【讨论】:
【参考方案11】:确保您的浏览器接受 cookie。我遇到了同样的问题。
【讨论】:
【参考方案12】:如果您的 django 版本是 "4.x.x":
python -m django --version
// 4.x.x
如果您的错误包含此消息:
来源检查失败 - https://example.com 没有 匹配任何受信任的来源。
将此代码添加到“settings.py”:
CSRF_TRUSTED_ORIGINS = ['https://example.com']
【讨论】:
【参考方案13】:1) % csrf_token % 不在模板中 - 要么 - 2) % csrf_token % 在 html-form 之外
【讨论】:
这个近 8 年的问题清楚地描述了I really have NO idea on where and how to use it。那么这是一个怎样的答案呢?
@Elijan9 1) 有时 % csrf_token % 未在 html-form 中使用,然后在其他情况下使用 2) 我们在模板中使用了 % csrf_token % 但在您检查时它们有一些错误以 html 格式输入以上是关于CSRF 验证失败。请求中止的主要内容,如果未能解决你的问题,请参考以下文章