Django 项目中基于 CSRF 令牌 AJAX 的帖子
Posted
技术标签:
【中文标题】Django 项目中基于 CSRF 令牌 AJAX 的帖子【英文标题】:CSRF token AJAX based post in a Django Project 【发布时间】:2017-07-06 14:13:15 【问题描述】:所以我发现了错误,它在我的 html 中。我刚刚添加了% csrf_token %,它成功了 :) 感谢大家的帮助!
(我使用了第一个答案中给我的 JS sn-p 但我仍然 收到 403 Forbidden 错误!)我可能做错了什么?
我最近学习了 JS,并为 AJAX POST 尝试了以下 JS 代码,但我收到 403 错误。做了一些进一步的研究,发现我需要传递一个 CSRF 令牌。我在网上浏览了很多教程,但我能找到的唯一解决方案是 JQuery,我不知道该语法是如何工作的。我需要知道如何通过基于 javascript AJAX 的帖子为 django 项目传递 CSRF 令牌。我的代码是;
var upvoteBtn = document.querySelector('#upvote');
var downvoteBtn = document.querySelector('#downvote');
upvoteBtn.addEventListener('click', jL);
downvoteBtn.addEventListener('click', cL);
function jL(event)
document.getElementById("upvote").style.display='none';
document.getElementById("downvote").style.display='none';
var http = new XMLHttpRequest ();
var url = 'entered my url here';
var data = 'title=Post%20Title&body=Body';
var method = 'POST';
http.open(method, url, true);
http.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded')
http.setRequestHeader("X-CSRFToken", csrftoken);
http.onreadystatechange = function()
if (http.readyState === XMLHttpRequest.DONE && http.status === 200)
document.getElementById("first").innerHTML = "this post has been voted";
console.log("upvote given");
else if (http.readyState === XMLHttpRequest.DONE && http.status !== 200)
console.log("error!", http.responseText);
;
http.send(data);
function cL(event)
document.getElementById("upvote").style.display='none';
document.getElementById("downvote").style.display='none';
var http = new XMLHttpRequest ();
var url = 'entered my url here';
var data = 'title=Post%20Title&body=Body';
var method = 'POST';
http.open(method, url, true);
http.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded')
http.setRequestHeader("X-CSRFToken", csrftoken);
http.onreadystatechange = function()
if (http.readyState === XMLHttpRequest.DONE && http.status === 200)
document.getElementById("first").innerHTML = "got downvoted";
console.log("downvoted!");
else if (http.readyState === XMLHttpRequest.DONE && http.status !== 200)
console.log("error!", http.responseText);
;
http.send(data);
//function for CSRF token
function getCookie(cname)
var name = cname + "=";
var decodedCookie = decodeURIComponent(document.cookie);
var ca = decodedCookie.split(';');
for(var i = 0; i <ca.length; i++)
var c = ca[i];
while (c.charAt(0) == ' ')
c = c.substring(1);
if (c.indexOf(name) == 0)
return c.substring(name.length, c.length);
return "";
var csrftoken = getCookie('csrftoken');
【问题讨论】:
查看浏览器的网络监视器,并将 Django 在Cookie 标头中发送给您的值与您的 JavaScript 代码在 X-CSRFToken 标头中发送回 Django 的值进行比较。
【参考方案1】:
您需要致电:
xhr.setRequestHeader("X-CSRFToken", csrftoken);
当您准备 xhr 请求时。 (在您的示例中,xhr 被命名为 http)
您可以从 cookie 中获取 csrftoken,但为此您需要实现 getCookie 函数。
这样的事情应该可以解决问题:
function getCookie(cname)
var name = cname + "=";
var decodedCookie = decodeURIComponent(document.cookie);
var ca = decodedCookie.split(';');
for(var i = 0; i <ca.length; i++)
var c = ca[i];
while (c.charAt(0) == ' ')
c = c.substring(1);
if (c.indexOf(name) == 0)
return c.substring(name.length, c.length);
return "";
var csrftoken = getCookie('csrftoken');
更新
在你的代码中应该是这样的:
upvoteBtn.addEventListener('click', jL);
downvoteBtn.addEventListener('click', cL);
//first define your getCookie function
function getCookie(cname)
var name = cname + "=";
var decodedCookie = decodeURIComponent(document.cookie);
var ca = decodedCookie.split(';');
for(var i = 0; i <ca.length; i++)
var c = ca[i];
while (c.charAt(0) == ' ')
c = c.substring(1);
if (c.indexOf(name) == 0)
return c.substring(name.length, c.length);
return "";
function jL(event)
//...
//Then when you prepare you data fetch the token
var csrftoken = getCookie('csrftoken');
http.open(method, url, true);
http.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded')
//Now set it
http.setRequestHeader("X-CSRFToken", csrftoken);
//... the rest of your code
function cL(event)
//do the same here
【讨论】:
所以在按照您的指示添加代码后,我仍然收到 Forbidden 403 错误。虽然我在 http.open 之后添加了 http 请求。我做错了什么?我尝试在这里添加代码,但它不允许我:( 这很奇怪,我可以打开它没有问题。试试这个:pastebin.com/raw/Zks2hkJ7 :( 与以前相同的错误;未找到 在此服务器上未找到请求的 URL /raw/Zks2hkJ7。Apache/2.2.15 (CentOS) 服务器在 pastebin.com 端口 80 你可以添加如果代码很短,可以在此处添加代码,或者只是在最后编辑我的原始帖子并说这是一个可能的解决方案? @shahz 是的,刚刚更新了我的答案,希望对您有所帮助。【参考方案2】:将这段代码添加到你的 JS 中:
function getCookie(name)
var cookieValue = null;
if (document.cookie && document.cookie != '')
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++)
var cookie = $.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '='))
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
return cookieValue;
function csrfSafeMethod(method)
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
function sameOrigin(url)
// test that a given url is a same-origin URL
// url could be relative or scheme relative or absolute
var host = document.location.host; // host + port
var protocol = document.location.protocol;
var sr_origin = '//' + host;
var origin = protocol + sr_origin;
// Allow absolute or scheme relative URLs to same origin
return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
(url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
// or any other URL that isn't scheme relative or absolute i.e relative.
!(/^(\/\/|http:|https:).*/.test(url));
if (!csrfSafeMethod(http.responseType) && sameOrigin(http.responseUrl))
http.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
基本上,您需要将 CSRF 令牌添加到标头中。我找不到找到这段代码的链接,如果有人知道会很棒。
【讨论】:
嘿,我尝试使用您的评论,但起初我收到一个错误,即 http 未定义,后来我收到 Uncaught ReferenceError: csrftoken is not defined at HTMLButtonElement.jL (button.js:49)当我将 http 定义为一个变量时,如上所述,我已经在我的代码中进行了操作。 我刚刚在我为这个问题粘贴的代码末尾添加了你给我的代码 我无法复制您的代码,因此您必须提供详细的错误信息。给出错误发生的行不会有帮助。无论如何,您必须在Content-Type 标头之后添加我的代码。嗯,功能可以出去,但是if必须去那里。
我已经更新了原始问题中的代码,还添加了错误消息的屏幕截图。虽然新更新的代码没有你给我的代码,但我也尝试了你的方法,将 3 个函数排除在外,但 if 语句就在“Content-Type”下方,我仍然遇到与上述相同的错误。
以上是关于Django 项目中基于 CSRF 令牌 AJAX 的帖子的主要内容,如果未能解决你的问题,请参考以下文章
Django Rest Framework,ajax POST 工作,但 PATCH 抛出 CSRF 失败:CSRF 令牌丢失或不正确
无模板 Django + AJAX:Django 的 CSRF 令牌是不是在浏览会话过程中更新?
Django - 在同一个模板(ajax 和表单)中处理多个 CSRF 令牌禁止(CSRF 令牌丢失或不正确。)