使用Ajax POST请求,Django CSRF检查失败

问题:

我可以通过我的AJAX帖子使用一些帮助来遵守Django的CSRF保护机制。我按照这里的指示:
 http://docs.djangoproject.com/en/dev/ref/contrib/csrf/
我已经完全复制了在该页面上的AJAX示例代码:
 http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax
我在xhr.setRequestHeader呼叫之前打了一个警告来打印getCookie('csrftoken')的内容,确实填满了一些数据。我不知道如何验证该令牌是否正确,但我很鼓励它找到并发送一些东西。
但Django仍然拒绝我的AJAX职位。
这是我的JavaScript

$.post("/memorize/", data, function (result) {
    if (result != "failure") {
        get_random_card();
    }
    else {
        alert("Failed to save card data.");
    }
});

以下是我从Django看到的错误:

[23 / Feb / 2011 22:08:29]“POST / memorize / HTTP / 1.1”403 2332

我确定我错过了一些东西,也许很简单,但我不知道是什么。我在SO周围搜索过,看到一些关于通过csrf_exempt装饰器关闭CSRF检查的信息,但是我发现这不是很有吸引力。我已经尝试了它,它的工作原理,但我宁愿让我的POST工作,Django的设计,如果可能的话。
以防万一有帮助,这是我的观点在做什么的要点:

def myview(request):

    profile = request.user.profile

    if request.method == 'POST':
        """
        Process the post...
        """
        return HttpResponseRedirect('/memorize/')
    else: # request.method == 'GET'

        ajax = request.GET.has_key('ajax')

        """
        Some irrelevent code...
        """

        if ajax:
            response = HttpResponse()
            profile.get_stack_json(response)
            return response
        else:
            """
            Get data to send along with the content of the page.
            """

        return render_to_response('memorize/memorize.html',
                """ My data """
                context_instance=RequestContext(request))

感谢您的回复!

回答:

 实际解决方案
好的,我设法追踪问题。它在于Javascript(正如我下面建议的)代码。
你需要的是:

$.ajaxSetup({ 
     beforeSend: function(xhr, settings) {
         function getCookie(name) {
             var cookieValue = null;
             if (document.cookie && document.cookie != '') {
                 var cookies = document.cookie.split(';');
                 for (var i = 0; i < cookies.length; i++) {
                     var cookie = jQuery.trim(cookies&#91;i&#93;);
                     // Does this cookie string begin with the name we want?
                     if (cookie.substring(0, name.length + 1) == (name + '=')) {
                         cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                         break;
                     }
                 }
             }
             return cookieValue;
         }
         if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
             // Only send the token to relative URLs i.e. locally.
             xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
         }
     } 
});
&#91;/code&#93;
而不是在官方文档中发布的代码:
 <a href="http://docs.djangoproject.com/en/1.2/ref/contrib/csrf/#ajax">http://docs.djangoproject.com/en/1.2/ref/contrib/csrf/#ajax</a>
工作代码来自这个Django条目:<a href="http://www.djangoproject.com/weblog/2011/feb/08/security/">http://www.djangoproject.com/weblog/2011/feb/08/security/</a>
所以一般的解决方案是:“使用ajaxSetup处理程序而不是ajaxSend处理程序”。我不知道为什么它的工作。但它适用于我:)
 <strong>上一篇(没有回答)</strong>
我遇到了同样的问题。
它发生在更新到Django 1.2.5之后 -  Django 1.2.4中的AJAX POST请求没有错误(AJAX没有任何保护,但它的工作很正常)。
就像OP一样,我已经尝试在Django文档中发布的JavaScript代码段。我使用的是jQuery 1.5。我也使用“django.middleware.csrf.CsrfViewMiddleware”中间件。
我试图跟随中间件代码,我知道它失败了:

request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '')

接着

if request_csrf_token != csrf_token:
    return self._reject(request, REASON_BAD_TOKEN)

这个“if”是真的,因为“request_csrf_token”是空的。
基本上这意味着标题没有设置。那么这个JS线有什么问题吗?

xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));

我希望提供的细节将有助于我们解决问题:)

 
 
Code问答: http://codewenda.com/topics/python/
Stackoverflow: Django CSRF check failing with an Ajax POST request

*转载请注明本文链接以及stackoverflow的英文链接

发表评论

电子邮件地址不会被公开。 必填项已用*标注

− 8 = 1