Django中的X-editable内联编辑-如何获得CSRF保护?

Posted

技术标签:

【中文标题】Django中的X-editable内联编辑-如何获得CSRF保护?【英文标题】:X-editable inline editing in Django - how to get CSRF protection? 【发布时间】:2012-11-26 18:26:38 【问题描述】:

我正在尝试在 Django 中对模型进行 X-Editable 内联编辑。我只是想更改模型实例的属性(在本例中为 Dataset 对象的名称)。

我不确定如何编写视图,以便正确捕获来自 ajax 请求的信息:

POST /datasets/9/update_name/

    pk:    3            //primary key (record id)
    value: 'The Updated Name' //new value

然后将新名称保存到 Dataset 对象。

urls.py

# ex: /datasets/3/update_name
url(r'^(?P<pk>\d+)/update_name/$', update_name ,
    name='update_name'),

detail.html

<h1 class="page-title center">
    <a href="#" id="datasetName"> dataset.name </a>
</h1>
<script>
$('#datasetName').editable(
  type: 'text',
  pk:  dataset.pk ,
  url: '% url 'datasets:update_name' dataset.pk %',
  title: 'Edit dataset name'
  params:  csrf: '% csrf_token %' # // This isn't working
);
</script>

views.py

def update_name(request, dataset_id):   
    # ... Update Dataset object ...
    json = simplejson.dumps(request.POST)
    return HttpResponse(json, mimetype='application/json')  

编辑:

我认为问题在于没有 CSRF 保护。如何在 X 可编辑表单中添加它?

** 编辑 2:

我也试过这个,根据文档:

<h1 class="page-title center">
  <a href="#" id="datasetName"> dataset.name </a>
</h1>

<script>
// using jQuery
function getCookie(name) 
  var cookieValue = null;
  if (document.cookie && document.cookie != '') 
    var cookies = document.cookie.split(';');
    for (var i = 0; i < cookies.length; i++) 
      var cookie = jQuery.trim(cookies[i]);
          // Does this cookie string begin with the name we want?
          if (cookie.substring(0, name.length + 1) == (name + '=')) 
            cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
            break;
          
        
      
      return cookieValue;
    
    var csrftoken = getCookie('csrftoken');

    function csrfSafeMethod(method) 
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

$.ajaxSetup( 
 beforeSend: function(xhr, settings) 
   function getCookie(name) 
     var cookieValue = null;
     if (document.cookie && document.cookie != '') 
       var cookies = document.cookie.split(';');
       for (var i = 0; i < cookies.length; i++) 
         var cookie = jQuery.trim(cookies[i]);
                   // Does this cookie string begin with the name we want?
                   if (cookie.substring(0, name.length + 1) == (name + '=')) 
                     cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                     break;
                   
                 
               
               return cookieValue;
             
             if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) 
           // Only send the token to relative URLs i.e. locally.
           xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
         
        
     );
$('#datasetName').editable(
  type: 'text',
  pk:  dataset.pk ,
  url: '% url 'datasets:update_name' dataset.pk %',
  title: 'Edit dataset name',
);
</script>

【问题讨论】:

感谢您分享您的工作,但问题是什么? 对不起。已编辑。我只是不确定如何编写视图来捕获和保存请求中的信息 视图代码是否被调用? request.POST 是什么样的? request.is_ajax() 是真的吗?你在前端得到成功响应吗? form.is_valid() 的结果是什么? 嗯,看起来 DatasetDetail 中的 post 方法甚至没有被调用。我尝试将print repr(request.POST) 放在上面的 post 方法中,当我尝试进行内联编辑时没有任何显示。但是,在服务器输出中,我看到发出了 POST 请求: [08/Dec/2012 16:33:10] "POST /datasets/3/ HTTP/1.1" 403 152221 【参考方案1】:

我认为是正确的,特别是如果您正在使用 rails 来添加

        ajaxOptions: 
            beforeSend: function(xhr) xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content')), 
        ,

内部可编辑功能

        $('#projectname').editable(
            showbuttons: 'bottom',
            ajaxOptions: 
                beforeSend: function(xhr) xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content')), 
            ,              
            type: 'textarea',
            url: '/url/url'

        );

【讨论】:

【参考方案2】:

我在我的 php 项目中遇到过这个问题,我使用 ajaxOptions 选项解决了这个问题。从 meta 标签中取出 CSRF Token 并添加到请求头中。

ajaxOptions: 
  dataType: 'json',
  beforeSend: function(xhr)
    xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]')
       .attr('content'));
               

【讨论】:

【参考方案3】:

哇,我在这个问题上花了这么多时间!

入围版本为:

<a href="#" id="projectnameproject.id" data-type="text" data-pk="project.id" data-title="Enter project name" data-url="% url 'updateproject' project.id %" data-params="csrfmiddlewaretoken:'csrf_token'"> project.name </a>

然后,调用

$('#projectnameproject.id').editable();

【讨论】:

谢谢!我遇到了同样的问题! 也谢谢你 :) 还有 x-editable 的优秀员工【参考方案4】:

csrf 表单字段的正确名称是csrfmiddlewaretoken

【讨论】:

以上是关于Django中的X-editable内联编辑-如何获得CSRF保护?的主要内容,如果未能解决你的问题,请参考以下文章

如何使用 select2 和 x-editable 格式化标签

如何在 laravel 中验证 X-editable 请求(服务器端)

X-Editable 和 Bootstrap 4

如何在管理界面中内联编辑 django 用户配置文件?

通过 Django Admin 中的内联显示编辑/添加外键对象

用户同时编辑时,Django 内联表单集抛出 IndexError