Django CSRF cookie 设置不正确
Posted
技术标签:
【中文标题】Django CSRF cookie 设置不正确【英文标题】:Django CSRF cookie not set correctly 【发布时间】:2016-11-13 02:41:44 【问题描述】:7-18 更新:
这是代理服务器的 nginx 配置:
server
listen 80;
server_name blah.com; # the blah is intentional
access_log /home/cheng/logs/access.log;
error_log /home/cheng/logs/error.log;
location /
proxy_pass http://127.0.0.1:8001;
location /static
alias /home/cheng/diandi/staticfiles;
location /images
alias /home/cheng/diandi/images;
client_max_body_size 10M;
这里是nginx.conf:
user www-data;
worker_processes 4;
pid /var/run/nginx.pid;
events
worker_connections 768;
# multi_accept on;
http
##
# Basic Settings
##
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# Logging Settings
##
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
##
# Gzip Settings
##
gzip_disable "msie6";
# Enable Gzip compressed.
gzip on;
# Enable compression both for HTTP/1.0 and HTTP/1.1.
gzip_http_version 1.1;
# Compression level (1-9).
# 5 is a perfect compromise between size and cpu usage, offering about
# 75% reduction for most ascii files (almost identical to level 9).
gzip_comp_level 5;
# Don't compress anything that's already small and unlikely to shrink much
# if at all (the default is 20 bytes, which is bad as that usually leads to
# larger files after gzipping).
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
gzip_types
application/atom+xml
application/javascript
application/json
application/rss+xml
application/vnd.ms-fontobject
application/x-font-ttf
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
application/x-javascript
font/opentype
image/svg+xml
image/x-icon
text/css
text/plain
text/javascript
text/js
text/x-component;
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
7-15 更新:
将代码复制到linux机器时,我只是简单地替换了原始源代码文件,但没有删除旧的.pyc文件,我认为不会造成麻烦吧?
查看代码如下:
from django.contrib.auth import authenticate, login
from django.http import HttpResponseRedirect
from django.core.urlresolvers import reverse
from django.shortcuts import render
def login_view(request):
if request.method == 'POST':
username = request.POST['username']
password = request.POST['password']
user = authenticate(username=username, password=password)
next_url = request.POST['next']
if user is not None:
if user.is_active:
login(request, user)
if next_url:
return HttpResponseRedirect(next_url)
return HttpResponseRedirect(reverse('diandi:list'))
else:
form = 'errors': True
return render(request, 'registration/login.html', 'form': form)
else:
form = 'errors': False
return render(request, 'registration/login.html', 'form': form)
我从 Django 收到了其中一个 CSRF cookie not set 错误,但这并不是因为我忘记在模板中包含 % csrf_token %。
这是我观察到的:
访问登录页面#1尝试
在Request Header 内,cookie 的值为:
csrftoken=yNG8ZmSI4tr2xTLoE9bys8JbSuu9SD34;
在模板中:
<input type="hidden" name="csrfmiddlewaretoken" value="9CVlFSxOo0xiYykIxRmvbWyN5iEUHnPB">
在我安装在 chrome 上的一个 cookie 插件中,实际的 csrf cookie 值设置为:
9CVlFSxOo0xiYykIxRmvbWyN5iEUHnPB
访问登录页面#2尝试:
在Request Header 内,cookie 的值为:
csrftoken=9CVlFSxOo0xiYykIxRmvbWyN5iEUHnPB;
在模板中:
<input type="hidden" name="csrfmiddlewaretoken" value="Y534sU40S8iTubSVGjjh9KQl0FXesVsC">
在我安装在 chrome 上的一个 cookie 插件中,实际的 csrf cookie 值设置为:
Y534sU40S8iTubSVGjjh9KQl0FXesVsC
模式
从上面的示例中可以看出,Request Header 中的 cookie 值与表单中实际的 csrfmiddlewaretoken 以及设置的实际 cookie 值不同。
当前请求的 cookie 值与下一个 request header's cookie 值匹配。
为了帮助调试,这里是我的 `settings.py 的一部分:
DJANGO_APPS = (
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
)
THIRD_PARTY_APPS = (
'compressor',
'crispy_forms',
'django_extensions',
'floppyforms',
'multiselectfield',
'admin_highcharts',
)
LOCAL_APPS = (
'diandi_project',
'uer_application',
)
INSTALLED_APPS = DJANGO_APPS + THIRD_PARTY_APPS + LOCAL_APPS
MIDDLEWARE_CLASSES = (
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
)
TEMPLATES = [
'BACKEND': 'django.template.backends.django.DjangoTemplates',
'DIRS': [str(ROOT_DIR.path('templates'))],
'APP_DIRS': True,
'OPTIONS':
'context_processors': [
'django.template.context_processors.media',
'django.template.context_processors.debug',
'django.template.context_processors.request',
'django.contrib.auth.context_processors.auth',
'django.contrib.messages.context_processors.messages',
],
,
,
]
我正在使用Django 1.9.5 和python 2.7.10。
一个“解决方案”
我遇到了this problem before,我可以清除我所有的浏览器cookies并且网站可以正常运行。但是这个问题最终会再次出现,所以我真的希望有人能帮助我(我可能只是在某个地方犯了一个非常愚蠢的错误)。
更新
最初,我认为我在覆盖 django.contrib.auth.view 页面时犯了一些错误,所以我编写了自己的登录页面处理程序,但仍然导致问题。
这是我的登录模板的核心部分:
% block content %
...
<form method="post" action="% url 'login' %">
% csrf_token %
<div class="form-group">
<label for="username">username</label>
<input type="text" class="form-control" id="id_username" name="username">
</div>
<div class="form-group">
<label for="password">password</label>
<input type="password" class="form-control" id="id_password" name="password">
</div>
<input type="submit" class="btn btn-default" value="login" />
<input type="hidden" id="next" name="next" value="" />
</form>
...
% endblock %
在 Linux 机器上,我有一个 nginx 服务器设置为反向代理,它将端口 80 上的请求直接请求到 8001,我正在使用./manage runserver localhost:8001 运行服务器这是我能想到的设置方面的唯一区别.否则,所有源代码和设置文件都是相同的。
我开始删除 cookie 但不是全部,这是我在删除它们之前看到的:
我删除了除djdt 和csrftoken 之外的所有cookie,然后页面正常工作。被删除的 cookie 是否会以某种方式超过某个限制,从而阻止设置列表下方的 csrftoken?
这是请求头中上图的cookie值:
Cookie:PSTM=1466561622; BIDUPSID=6D0DDB8084625F2CEB7B9D0F14F93391; BAIDUID=326150BF5A6DFC69B6CFEBD67CA7A18B:FG=1; BDSFRCVID=Fm8sJeC62leqR8bRqWS1u8KOKg9JUZOTH6ao6BQjXAcTew_mbPF_EG0PJOlQpYD-hEb5ogKK0mOTHvbP; H_BDCLCKID_SF=tJPqoCtKtCvbfP0k-tcH244HqxbXq-r8fT7Z0lOnMp05EnnjKl5M3qKOqJraJJ585Gbb5tOhaKj-VDO_e6u-e55LjaRh2PcM2TPXQ458K4__Hn7zep0aqJtpbt-qJjbOfmQBbfoDQCTDfho5b63JyTLqLq5nBT5Ka26WVpQEQM5c8hje-4bMXPkkQN3T-TJQL6RkKTCyyx3cDn3oyToVXp0njGoTqj-eJbA8_CtQbPoHHnvNKCTV-JDthlbLetJyaR3lWCnbWJ5TMCo1bJQCe-DwKJJgJRLOW2Oi0KTFQxccShPC-tP-Ll_qW-Q2LPQfXKjabpQ73l02VhcOhhQ2Wf3DM-oat4RMW20jWl7mWPQDVKcnK4-Xj533DHjP; BDUSS=5TNmRvZnh2eUFXZDA5WXI5UG1HaXYwbzItaWt3SW5adjE1Nn5XbUVoWHZuYXBYQVFBQUFBJCQAAAAAAAAAAAEAAAC0JtydAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAO8Qg1fvEINXSU; Hm_lvt_a7708f393bfa27123a1551fef4551f7a=1468229606; Hm_lpvt_a7708f393bfa27123a1551fef4551f7a=1468229739; BDRCVFR[feWj1Vr5u3D]=I67x6TjHwwYf0; BDRCVFR[dG2JNJb_ajR]=mk3SLVN4HKm; BDRCVFR[-pGxjrCMryR]=mk3SLVN4HKm; cflag=15%3A3; H_PS_PSSID=1424_20515_13289_20536_20416_19861_14994_11792; csrftoken=xUgSHybzHeIwusN0GvMgB1ATeRrPgcV1
由于网站现在可以正常运行,我只有 5 个 cookie,而不是上图的 14 个:
【问题讨论】:
通常情况下,覆盖视图应该不是问题,我已经多次这样做了,从来没有遇到过这个问题。您是使用 django 的内置runserver 调试服务器还是使用其他(例如基于 Apache/Nginx)配置?在第二种情况下,您是否遇到与 runserver 相同的问题?
Runserver 在我的 mac 上工作,但在 linux 机器上产生这个问题
您是否在该 linux 机器上使用任何形式的缓存?这可以解释为什么表格中显示的 csrftoken 要么是过时的,要么是为其他用户生成的。见docs.djangoproject.com/en/1.9/ref/csrf/#s-caching
能否添加视图的代码?
Request 标头包含与 Response 的 Set-Cookie 标头中的 CSRF 令牌不同的 CSRF 令牌,这是正确的并且可以预料和表格。 Django 的 CSRF 实现通过将客户端传输的 Cookie 与表单中包含的值进行比较来工作,假设攻击者尝试 CSRF 将无法控制或获取 cookie 的值。 (也就是说,您观察到的“模式”是完全正常的。您的问题出在其他地方。)
【参考方案1】:
问题是这样的:你不能有一个 cookie,它的键包含字符 '[' 或 ']'
我在@Todor 的link 之后发现了解决方案,然后我发现了这个SO post。基本上,python 2.7.x 中有一个错误,它不会解析值中带有 ']' 的 cookie。该错误已在 2.7.10 中修复。
我认为只是确认这个问题会很好。所以我翻遍了所有的 cookie,找到了一个具有以下键/值的:
key: BDRCVFR[feWj1Vr5u3D]
val: I67x6TjHwwYf0
于是我在本地插入了如下cookie并提交到服务器:
key: test
val: BDRCVFR[feWj1Vr5u3D]
登录页面正常工作,这意味着 2.7.10 确实修复了该错误。
但后来我意识到方括号实际上是在键名中而不是在值中,所以我做了以下测试:
key: [
val: I67x6TjHwwYf0
和
key:]
val: I67x6TjHwwYf0
两个 cookie 都会破坏登录过程和 django 显示:
CSRF cookie not set
因此,无论是 django 还是它所依赖的 python 库都无法正确解析名称中带有方括号的 cookie。如果有人知道我应该在哪里提交这个错误,请告诉我(django 或 python)。
我要感谢在 OP 中发表评论的所有人:@raphv、@trinchet、@Phillip、@YPCrumble、@PeterBrittain 和 @Todor。非常感谢你们和我一起调试!
更新:2016 年 7 月 20 日
这个bug在Django 1.10已经修复,只需要等待发布
更新:2016 年 7 月 19 日
我 filed a bug report 作为这篇文章的结果给 Django。我们会看看它是否会在未来的版本中得到修复。
【讨论】:
以上是关于Django CSRF cookie 设置不正确的主要内容,如果未能解决你的问题,请参考以下文章
Django(DRF)和React - 禁止(未设置CSRF cookie)
Django 1.9 AJAX 表单 CSRF 令牌 403 错误 - “未设置 CSRF cookie”
Django REST Framework CSRF 失败:未设置 CSRF cookie