Python CSRF验证失败。请求中止
我试图建立一个非常简单的网站,在那里可以向sqlite3数据库添加数据。我有一个带有两个文本输入的POST表单 index.html:Python CSRF验证失败。请求中止,python,django,csrf,requestcontext,Python,Django,Csrf,Requestcontext,我试图建立一个非常简单的网站,在那里可以向sqlite3数据库添加数据。我有一个带有两个文本输入的POST表单 index.html: {% if top_list %} <ul> <b><pre>Name Total steps</pre></b> {% for t in top_list %} <pre>{{t.name}} {{t.total_steps}}</pre
{% if top_list %}
<ul>
<b><pre>Name Total steps</pre></b>
{% for t in top_list %}
<pre>{{t.name}} {{t.total_steps}}</pre>
{% endfor %}
</ul>
{% else %}
<p>No data available.</p>
{% endif %}
<br>
<form action="/steps_count/" method="post">
{% csrf_token %}
Name: <input type="text" name="Name" /><br />
Steps: <input type="text" name="Steps" /><br />
<input type="submit" value="Add" />
</form>
views.py:
from django.http import HttpResponse
from django.shortcuts import get_object_or_404, render
from steps_count.models import Top_List
from steps_count.forms import Top_List_Form
def index(request):
if request.method == 'POST':
#form = Top_List_Form(request.POST)
return HttpResponse("Do something") # methods must return HttpResponse
else:
top_list = Top_List.objects.all().order_by('total_steps').reverse()
#output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list])
return render(request,'steps_count/index.html',{'top_list': top_list})
但是,当我单击“提交”按钮时,出现403错误:
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
# 'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
我已经在index.html中包含了{%csrf\u token%}
。然而,如果这是一个RequestContext问题,我真的不知道在哪里以及如何使用它。我希望所有事情都发生在同一个页面上(index.html)。使用自动添加RequestContext
function yourFunctionName(data_1,data_2){
context = {}
context['id'] = data_1
context['Valid'] = data_2
$.ajax({
beforeSend:function(xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
if (settings.url == "your-url")
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
},
url: "your-url",
type: "POST",
data: JSON.stringify(context),
dataType: 'json',
contentType: 'application/json'
}).done(function( data ) {
});
这里的一个常见错误是使用render_to_响应(这在以前的教程中常用),它不会自动包含RequestContext。渲染不会自动包含它
在遵循教程创建新应用时了解到这一点,而CSRF不适用于新应用中的页面。当您发现此类消息时,表示CSRF令牌丢失或不正确。所以你有两个选择
- 您的浏览器正在接受cookies
- 在模板中,每个以内部URL为目标的POST表单中都有一个{%csrf_token%}模板标记
app.run(function($http, $cookies) {
console.log($cookies.csrftoken);
$http.defaults.headers.post['X-CSRFToken'] = $cookies.csrftoken;
});
)函数yourfonfictionname(数据1、数据2){
上下文={}
上下文['id']=数据_1
上下文['Valid']=数据_2
$.ajax({
发送前:功能(xhr、设置){
函数getCookie(名称){
var-cookieValue=null;
if(document.cookie&&document.cookie!=''){
var cookies=document.cookie.split(“;”);
对于(变量i=0;i
如果你把{%csrf\u token%}
放进去,但仍然有同样的问题,请尝试更改你的angular版本。这对我来说很有效。最初我在使用angular 1.4.x版本时遇到了这个问题。在我将其降级为angular 1.2.8之后,我的问题得到了解决。别忘了添加angular-cookies.js并将其放在你的js文件中。如果您使用post请求
app.config(function($httpProvider){
$httpProvider.defaults.headers.post['X-CSRFToken'] = $('meta[name=csrf_token]').attr('content');
}
在HTML标题中,添加
{% csrf_token %}
您可能没有在表单中添加以下内容:
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def method_name():
# body
解决这个问题的另一个最好的方法是使用
“@csrf\u-emption”
注释
使用Django 3.1.1
你可以在你的方法上使用@csrf\u-emption
您不需要在html中指定{%csrf\u token%}
快乐学习..1){%csrf\u令牌%}不在模板中
--或--
2) {%csrf_token%}在html表单之外使用装饰器:
确保您的浏览器正在接受cookies。我也遇到了同样的问题。谢谢第二部分。我根本不需要它!:)关闭CSRF不是解决方案。请不要这样做。(答案第二部分)你应该这样写你的ajax。还要确保你的浏览器接受cookies。这个几乎有8年历史的问题清楚地描述了
我真的不知道在哪里以及如何使用它。那么这是一个怎样的答案呢?@Elijan9 1)有时{%csrf_token%}没有用在html格式中,然后用了其他的vise 2)我们用了{%csrf_token%}在模板中,但他们有一些错误,当您检查html formIt中的行是否为django.views.csrf.decorators导入csrf_emption
而不是django.views.decorators导入csrf_emption
时,这是适用于django 3.1.1的解决方案,但您需要从django.views导入csrf_emption。decorators.csrf进口csrf_免税
<meta name="csrf_token" content="{{ csrf_token }}">
app.config(function($httpProvider){
$httpProvider.defaults.headers.post['X-CSRFToken'] = $('meta[name=csrf_token]').attr('content');
}
{% csrf_token %}
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def index(request):
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def method_name():
# body