jQuery AJAX POST在第一次调用时跳过Django CSRF令牌头使用jQuery AJAX POST调用Django以获得更新的JSON集。_Jquery_Ajax_Django_Csrf

jQuery AJAX POST在第一次调用时跳过Django CSRF令牌头使用jQuery AJAX POST调用Django以获得更新的JSON集。

jquery ajax django

jQuery AJAX POST在第一次调用时跳过Django CSRF令牌头使用jQuery AJAX POST调用Django以获得更新的JSON集。,jquery,ajax,django,csrf,Jquery,Ajax,Django,Csrf,已经包含了django应用程序的'django.middleware.csrf.CsrfViewMiddleware'和'django.middleware.csrf.CsrfResponseMiddleware'以及我的JS文件中的代码 $(document).ajaxSend(function(event, xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.

已经包含了django应用程序的'django.middleware.csrf.CsrfViewMiddleware'和'django.middleware.csrf.CsrfResponseMiddleware'以及我的JS文件中的代码

$(document).ajaxSend(function(event, xhr, settings) {
    function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie != '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) == (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
    }
    function sameOrigin(url) {
    // url could be relative or scheme relative or absolute
    var host = document.location.host; // host + port
    var protocol = document.location.protocol;
    var sr_origin = '//' + host;
    var origin = protocol + sr_origin;
    // Allow absolute or scheme relative URLs to same origin
    return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
        (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
        // or any other URL that isn't scheme relative or absolute i.e relative.
        !(/^(\/\/|http:|https:).*/.test(url));
    }
    function safeMethod(method) {
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
    }

    if (!safeMethod(settings.type) && sameOrigin(settings.url)) {
    xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
    }
});

$（文档）.ajaxSend（函数（事件、xhr、设置）{
函数getCookie（名称）{
var-cookieValue=null；
if（document.cookie&&document.cookie！=''）{
var cookies=document.cookie.split（“；”）；
对于（变量i=0；i


发生了什么
清除浏览器cookies并加载页面
Django使用403禁止响应AJAX POST请求，然后使用CSRF设置cookie。但是没有JSON数据
再次触发AJAX POST请求
Django从X-CSRFToken头接收CSRF令牌，并使用JSON集进行适当响应
生成ajax请求的html和js文件不是django生成的。js通过jquery$.post（）与django交互。因此，获取csrf令牌的唯一方法是在发送post数据之前调用django
在我看来，Django文档中给出的jQuery函数解决方案还没有本地cookie，并且在提交POST请求之前没有等待从服务器获取cookie。但当它与403一起使用时，它使用（现在本地存储）cookie进行后续尝试，并且工作正常
如何解决这个问题，使cookie提前设置，并在第一次被AJAX POST请求使用？我认为django csrf可以严格地从同一站点上发出的ajax调用中工作，这是错误的吗

*这里与CSRF完全不起作用有关的其他问题建议使用ajax.Setup而不是ajaxSend，但根据这一点，这可能会导致其他JS出现问题，因此选择了ajaxSend。*
看起来中间件类的排列顺序不对。要获得正确答案，需要更多信息，请从settings.py提供中间件类
将中间件“django.middleware.csrf.CsrfViewMiddleware”添加到
中间件类、中间件类的列表。（它应该来并且
在任何认为CSRF攻击已被攻击的视图中间件之前
已处理。）
或者，您可以在特定的应用程序上使用decorator csrf_protect（）
要保护的视图（请参见下文）
来源：
中间件\u类=（“django.middleware.common.CommonMiddleware”、“django.middleware.csrf.CsrfViewMiddleware”、“django.middleware.csrf.CsrfResponseMiddleware”、“django.contrib.sessions.middleware”、“django.contrib.AuthenticationMiddleware.AuthenticationMiddleware”、“django.contrib.messages.middleware.Message”中间件'，）从django的角度来看，csrf中间件似乎工作正常，因为第一个ajax请求从django获得一个令牌，第二个请求使用该令牌，django很高兴。实际上，csrf cookie必须在第一步设置，当页面加载时，包含ajax的页面不是在django中构建的。它是纯HTML（尽管我正在Django重建它来处理这个问题和其他问题）虽然据我所知，这并不重要。AJAX调用应该能够获取并读取Django提供的cookie，而无需任何整页请求。只是脚本在发送post数据之前似乎没有从远程获取cookie。它只是在寻找一个本地cookie，而在第一次请求时还没有。看起来需要做的是在将POST数据发送到Django之前设置所需的CSRF值，这是有意义的，因为Django正是通过此类请求提供安全性。当Django返回使用ajax调用的页面响应时，必须设置cookie。尽管您可以使用禁用处理ajax的视图上的CSRF检查，或者实现直接进入HTML页面查看。