Django中Ajax提交数据的CSRF问题
生活随笔
收集整理的這篇文章主要介紹了
Django中Ajax提交数据的CSRF问题
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
錯誤信息:
Forbidden (CSRF token missing or incorrect.):
?
什么是CSRF:
django為用戶實現防止跨站請求偽造的功能,通過中間件 django.middleware.csrf.CsrfViewMiddleware 來完成。而對于django中設置防跨站請求偽造功能有分為全局和局部。
全局:
中間件 django.middleware.csrf.CsrfViewMiddleware
局部:from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect,為當前函數強制設置防跨站請求偽造功能,即便settings中沒有設置全局中間件。
@csrf_exempt,取消當前函數防跨站請求偽造功能,即便settings中設置了全局中間件。
原理
當用post提交數據的時候,django會去檢查是否有一個csrf的隨機字符串,如果沒有就會報錯
?
這里我測試的是用Ajax提交的方式:
方法一:在urls.py中添加csrf_exempt,過濾csrf
from django.views.decorators.csrf import csrf_exempturl(r'^api/v1/some-resource$', csrf_exempt(SomeApiView.as_view())),?
方法二:在前端提交Ajax之前加上以下代碼
/*********** csrftoken開始****************/function getCookie(name) {var cookieValue = null;if (document.cookie && document.cookie !== '') {var cookies = document.cookie.split(';');for (var i = 0; i < cookies.length; i++) {var cookie = jQuery.trim(cookies[i]);if (cookie.substring(0, name.length + 1) === (name + '=')) {cookieValue = decodeURIComponent(cookie.substring(name.length + 1));break;}}}return cookieValue;}var csrftoken = getCookie('csrftoken');function csrfSafeMethod(method) {// these HTTP methods do not require CSRF protectionreturn (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));}$.ajaxSetup({beforeSend: function (xhr, settings) {if (!csrfSafeMethod(settings.type) && !this.crossDomain) {xhr.setRequestHeader("X-CSRFToken", csrftoken);}}});/*********** csrftoken結束****************/?
轉載于:https://www.cnblogs.com/ray-h/p/10676246.html
總結
以上是生活随笔為你收集整理的Django中Ajax提交数据的CSRF问题的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: JDK 1.6 HashMap 源码分析
- 下一篇: 点分治学习笔记