从 Chrome 扩展程序获取请求导致 403 Forbidden

Posted 2023-03-31

技术标签:

【中文标题】从 Chrome 扩展程序获取请求导致 403 Forbidden【英文标题】：Fetch request from Chrome extension results in 403 Forbidden 【发布时间】：2020-12-31 13:17:30 【问题描述】：

每当我尝试从 Chrome 扩展程序的 background.js 发送 POST 请求时，我都会收到 403 Forbidden 错误。如果我在 Chrome 扩展程序之外执行相同的代码，它可以正常工作。我的 API 不需要任何身份验证。

请求代码：

let formData = new FormData();
formData.append('message', "This is a test message.");

fetch('https://myapi.com/add', 
    body: formData,
    method: "post"
).then(r => console.log(r));

请求响应：

我还检查了我的 Apache 2 access.log，一切看起来都很正常：

x.x.x.x - - [13/Sep/2020:17:02:30 +0000] "POST add HTTP/1.1" 403 581 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (Khtml, like Gecko) Chrome/85.0.4183.102 Safari/537.36"

是否有任何 Chrome 扩展程序政策可以阻止我的请求？我需要向我的manifest.json 添加任何特殊权限吗？我是否需要对我的 API 进行任何更改（将此作为保留，因为它在 Chrome 扩展程序之外正常工作）？

【问题讨论】：

您的 API 是否需要身份验证？如果您在浏览器中登录您的应用程序，则应该将身份验证 cookie/令牌与所有请求一起发送，这就是它起作用的原因。来自 chrome 扩展程序的请求在“沙箱”中运行，并且无法访问与所选浏览器选项卡相同的 cookie/令牌。我的 API 不需要任何身份验证。我忘了指出这一点，谢谢。 ***.com/questions/25107774/… 我已经添加了“”权限。我所有的 GET 请求都运行良好。在我的情况下，它是由于我在 Chrome 上的扩展而完成的，请尝试禁用所有扩展，然后重试。这可能对其他人有帮助。我在这个问题上被困了 3 天，尝试了所有方法，最后问题是由扩展引起的...... 【参考方案1】：

编辑：阅读您的服务器日志。服务器可能会准确地告诉您错误是什么。确保已启用调试。

403 错误不会在没有充分理由的情况下真正从服务器发出 - 而这个原因通常是特定于您的应用程序的。 403 通常是权限问题：我们知道你是谁，但你无权做你想做的事。

可能存在（或缺失）标头，这会阻止请求进行任何更改（在您的情况下为 POST 请求）。例如，您的服务器可能正在设置 cookie 以防止 CSRF 攻击。很多时候，服务器不会验证 GET 请求上的令牌，这可以解释为什么 GET 请求在您的情况下有效，但在 POST 请求中无效。

如果你能搜索到你的服务器代码，我愿意有这样的伪代码：

if (requestIsMissingCSRFToken()) 
  throw new Error(STATUS.FORBIDDEN)

编辑：一些相关链接

Django - Working with AJAX, CSRF, & CORS POST 403 Forbidden for Chrome extension with Django on the backend HTTP POST sent from app to Django Server returns 403 Forbidden

【讨论】：

我的 API 是使用 Django REST 框架在 Django 中编写的。我已经使用“csrf_exempt”在我的所有 API 视图上禁用了 CSRF 保护并安装了“django-cors-headers”，但我仍然遇到同样的问题。我还使用 Postman 和 apitester.com 测试了 API，它运行良好。 Chrome 扩展程序似乎正在发送奇怪的请求。我还添加了本指南中所述的所有必需权限：developer.chrome.com/extensions/xhr。嗯-我不确定。此时，您将需要打印成功和失败请求的整个请求，并比较所有内容，直到发现差异。我的钱说有一些标题或 cookie 存在或缺失。 Django 很棒，因为它为你做了很多。这也是一种痛苦，因为它为你做了很多事情。也许 Django 默认配置为阻止来自 Chrome 扩展的请求。我不知道。祝你好运。我发布的 CSRF 内容只是一个猜测。越读越可疑：groups.google.com/g/django-users/c/Z7rKIzyu7VM?pli=1 我刚刚检查了 '403 Forbidden' 的详细信息，上面写着“detail: "CSRF Failed: Referer checks failed - no Referer."”。这意味着它几乎肯定是 CSRF。我以为我用 Django @csrf_exempt 装饰器禁用了它。【参考方案2】：

问题出在 Django REST 框架中。显然，它默认启用了一些身份验证类。在settings.py 中禁用/将它们设置为空数组将摆脱烦人的“403 Forbidden”错误。

REST_FRAMEWORK = 
    'DEFAULT_AUTHENTICATION_CLASSES': [
    ]

编辑：我不知道这有多安全，但至少它有效。

【讨论】：

【参考方案3】：

我也遇到了同样的问题。非常感谢您发布这个。我还使用 Django 后端开发 Chrome 扩展。

对我来说，从“DEFAULT_AUTHENTICATION_CLASSES”中删除“rest_framework.authentication.SessionAuthentication”是这样做的，但我保留了“oauth2_provider.contrib.rest_framework.OAuth2Authentication”。

根据medium article"rest_framework.authenication.SessionAuthentication' 仅在您想保留可浏览 API 时才需要。我启用了 CSRF 和 CORS。所以我认为我的设置非常安全。

下面是我的 settings.py 文件。

import os

# Build paths inside the project like this: os.path.join(BASE_DIR, ...)
BASE_DIR = os.path.dirname(os.path.dirname(os.path.abspath(__file__)))


# Quick-start development settings - unsuitable for production
# See https://docs.djangoproject.com/en/2.2/howto/deployment/checklist/

# SECURITY WARNING: keep the secret key used in production secret!
SECRET_KEY = '*xbmoy2yt4%l=od-dm*w$dxpl+rb(n#rmv0n&0x$a@+io!j+++'

# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = True

ALLOWED_HOSTS = []


# Application definition

INSTALLED_APPS = [
    'audio.apps.AudioConfig',
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'accounts.apps.AccountsConfig',
    'rest_framework',
    'oauth2_provider',
    #'corsheaders',
]

MIDDLEWARE = [
    #'corsheaders.middleware.CorsMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'oauth2_provider.middleware.OAuth2TokenMiddleware'
]

ROOT_URLCONF = 'zeno.urls'

TEMPLATES = [
    
        'BACKEND': 'django.template.backends.django.DjangoTemplates',
        'DIRS': [os.path.join(BASE_DIR, 'templates')],
        'APP_DIRS': True,
        'OPTIONS': 
            'context_processors': [
                'django.template.context_processors.debug',
                'django.template.context_processors.request',
                'django.contrib.auth.context_processors.auth',
                'django.contrib.messages.context_processors.messages',
            ],
        ,
    ,
]

WSGI_APPLICATION = 'zeno.wsgi.application'
CORS_ORIGIN_ALLOW_ALL = True


# Database
# https://docs.djangoproject.com/en/2.2/ref/settings/#databases

DATABASES = 
    'default': 
        'ENGINE': 'django.db.backends.sqlite3',
        'NAME': os.path.join(BASE_DIR, 'db.sqlite3'),
    



# Password validation
# https://docs.djangoproject.com/en/2.2/ref/settings/#auth-password-validators

AUTH_PASSWORD_VALIDATORS = [
    
        'NAME': 'django.contrib.auth.password_validation.UserAttributeSimilarityValidator',
    ,
    
        'NAME': 'django.contrib.auth.password_validation.MinimumLengthValidator',
    ,
    
        'NAME': 'django.contrib.auth.password_validation.CommonPasswordValidator',
    ,
    
        'NAME': 'django.contrib.auth.password_validation.NumericPasswordValidator',
    ,
]


# Internationalization
# https://docs.djangoproject.com/en/2.2/topics/i18n/

LANGUAGE_CODE = 'en-us'

TIME_ZONE = 'UTC'

USE_I18N = True

USE_L10N = True

USE_TZ = True

CORS_ORIGIN_ALLOW_ALL = False


# Static files (CSS, javascript, Images)
# https://docs.djangoproject.com/en/2.2/howto/static-files/

STATIC_URL = '/static/'
LOGIN_REDIRECT_URL = 'home'
LOGOUT_REDIRECT_URL = 'home'

PROJECT_ROOT = os.path.normpath(os.path.dirname(__file__))
STATICFILES_DIRS = (
    os.path.join(PROJECT_ROOT, '..', 'static'),
)

REST_FRAMEWORK = 
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'oauth2_provider.contrib.rest_framework.OAuth2Authentication',
        #'rest_framework.authentication.SessionAuthentication', # To keep the Browsable API
    ),
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated',
    ),
    # 'DEFAULT_PAGINATION_CLASS': (
    #     'rest_framework.pagination.PageNumberPagination',
    # ),
    # 'DEFAULT_PERMISSION_CLASSES': (
    #     'rest_framework.permissions.IsAuthenticated',
    # ),
    #'PAGE_SIZE': 10



AUTHENTICATION_BACKENDS = (
    'django.contrib.auth.backends.ModelBackend', # To keep the Browsable API
    'oauth2_provider.backends.OAuth2Backend',
)

#STATIC_ROOT = os.path.join(BASE_DIR, "static/")
ALLOWED_HOSTS = ['localhost', '127.0.0.1', 'test.com']

AUTH_USER_MODEL = 'accounts.CustomUser'

EMAIL_BACKEND = 'django.core.mail.backends.console.EmailBackend'
#EMAIL_BACKEND = "django.core.mail.backends.filebased.EmailBackend"
#EMAIL_FILE_PATH = os.path.join(BASE_DIR, "sent_emails")

【讨论】：

以上是关于从 Chrome 扩展程序获取请求导致 403 Forbidden的主要内容，如果未能解决你的问题，请参考以下文章

如何修复对 etherpad 的 $http.get 请求上的“403（禁止）”

从 Chrome 扩展程序到 App Engine 的 POST 请求作为 GET 请求接收

如何从 Chrome 扩展程序发送 HTTP GET 请求？

从Chrome扩展程序检查网站上的Facebook登录

无法从获取请求中获取“Access-Control-Allow-Origin”标头

从vbscript向Chrome扩展程序发出XML HTTP请求