Django输出CSRF令牌作为对象而不是值
我在Django中以简单的POST形式在CSRF令牌中挣扎。模板生成以下CSRF输出,而不是输出令牌的值: 我
..
csrf相关内容
Django缓存导致CSRF违规
我的网站使用django注册进行登录/注册。最近我介绍了一些缓存中间件,并且在尝试进行背对背新用户注册时导致了CSRF违规。 以下是我的settings.py中的中间件声明: MIDDLEWARE_CLASSES =( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.C
..
用于HTTP和HTTPS的Django CSRF
CSRF令牌在每个表单中都可用,因为它可以在HTTP和HTTPS之间运行,并且遇到csrf令牌验证问题。应该是,但是当我在HTTP版本的网站,并尝试提交一个注释我得到以下错误。 禁止(403) CSRF验证失败。请求已中止。 参考检查失败 - http:// mysite.com/blog/1/ 与 https://mysite.com/ 不符。 通过HTTPS查看博客可以正常
..
CSRF中间件 - 更改csrf_token输出(从xHTML到HTML)
我有一个django csrf中间件的问题... 当我使用模板标签csrf_token我得到这个输出:
但是我想要输
..
Django Rest框架抱怨CSRF
我已经开发了一个简单的Web服务,但是没有使用Django Rest Framework发布,因为它抱怨CSRF: “detail” :“CSRF失败:CSRF cookie未设置”。 删除api_view装饰器会阻止消息出现,将无法访问request.data。我认为api_view会检查CSRF,尽管我添加了csrf_exempt装饰器。 这是我的观点: @permi
..
IOSF保护IOS本机应用注册表?
我有一个使用Django作为后台的网站。我正在开发一个连接到同一个后端的IOS应用程序。我打算使用Oauth2身份验证进行登录和登录。但是,我只是不知道该怎么做的注册表。注册表单将POST电子邮件,用户名和密码等数据。 由于应用程序没有csrf令牌,所以会出现403错误。如果我在注册视图中执行csrf_exempt,我不知道它是多么安全。 我搜索了stackoverflow存在的问题,
..
Django 403 CSRF令牌丢失或不正确
我遇到这个问题,但不幸的是仍然不知道如何解决它。该表单完美呈现,我输入信息并获得CSRF错误。给出的原因是令牌丢失或错误。 查看: def eventSell(request,id): c = {} c.update(csrf(request)) event = SquidEvent.objects.get(pk = id) listing_form = ListingFor
..
Django管理员引发CSRF验证失败
我已经开始新的django项目并启用了管理员应用程序。 我可以登录管理员网站,但是当我试图添加/更改网站或用户我得到 CSRF验证失败。请求中止。 失败的原因: CSRF令牌丢失或不正确。 这是我在settings.py中的: TEMPLATE_LOADERS =( 'django.template.loaders.filesystem.Loader',
..
完全禁用SVN中的Django的CSRF保护
我沮丧地花了几个小时,试图禁用Django现在试图强迫我的CSRF,无济于事。有没有人试过这个更成功?除了源代码补丁(但是monkeypatches是可以的),我很好,有什么可行的。 解决方案 它。但是如果你必须,尝试这个。
..
Django的评论框架和CSRF
我知道 Django的评论框架是为匿名的公众意见,像你通常看到一个博客或一个artcile下面。换句话说,任何人都可以发表评论。 我正在使用评论框架,只允许登录的用户显示评论。 我曾经修改过 form.html ,并隐藏名称, URL 和电子邮件字段(使安全字段保持不变)。所以用户只能看到一个注释字段。我想使用Django的评论,因为它已经有一些很好的安全功能,如时间戳检查,蜜罐字段和反双重
..
Angular2和Django:CSRF令牌头痛
我有问题 我从我的 > Angular2 客户端到我的 Django (v1.9)后端(在本地主机,不同端口上)。我还没有使用Django REST框架,我只是在Django中转载JSON,而没有任何加载项。 我已经发出了一个 csrf令牌由服务器,我手动发回它在HTTP头(我可以看到它,当我打电话)。 但是,我仍然从django收到错误:禁止(CSRF cookie未设置。) 读了一
..
django注销使用链接或表单来防止csrf利用
在阅读 djangobook第一章时,我遇到了提及csrf的部分利用其中一个注销链接被隐藏的恶意网站。 在我使用django创建的Web应用程序中,我使用了类似的注销链接 base.html: 退出 my_logout url指向 django.contrib.auth.views.lo
..
无模板Django + AJAX:Django的CSRF令牌在浏览会话过程中是否得到更新?
我目前的设置是AngularJS + Django 1.5,我完全抛弃了使用Django的模板引擎(即后端几乎是一个API服务器)。 由于我没有使用 csrf_token 模板标签,反过来,Django不会设置并发送 csrftoken cookie作为回应。根据官方文档的指示,应使用 ensure_csrf_cookie()装饰器强制装饰视图发送 csrftoken 曲奇饼。 我已经
..
在Django 1.2中仍然需要{%csrf_token%} CSRF保护标记?
我删除了 {%csrf_token%} 从我的表单,提交仍然有效。我不明白为什么然后我查看了源代码,并意识到令牌仍然位于
元素旁边。我更改了表单的ID,以确保它更新源代码,但是隐藏的输入仍然存在。 我正在使用Django 1.2。 {%csrf_token%} 仍然有必要吗? 干杯 Rich 解决方案 经过更多调查,出现 {%csrf_token%} pos
..
Django CSRF cookie HttpOnly
是否可以将django csrf cookie设置为http-only? 解决方案 >新设置, CSRF_COOKIE_HTTPONLY ,可用于Django 1.6 +。
..
在什么情况下可以免除CSRF危险?
这个问题比一个直接关于如何编码的再保险更重要。作为一个autodidact我没有很多的可能性要求专业人士这样的事情,所以我尝试这里。 我已经阅读django-docs文件( https://docs.djangoproject.com/en/1.3/ref/contrib/csrf/ )和该页面上的一些信息: http://cwe.mitre.org/ top25 /#CWE-352
..
来自Django的CSRF中间件的假阳性数量?
我从Django的contrib CSRF中间件中获得了大量的误报。只要正常使用网站,就会出现很多情况,其中CSRF刚刚开始阻止请求作为可疑的伪造攻击。 有没有人有这样的问题?我正在使用Django的SVN分支,所以有最新版本的CSRF中间件。我如何诊断这些问题? 更新:我在我的生产和开发网站上看到这些误报。他们偶尔发生。我的网站使用子域,并且有不同的开发/生产版本的站点在不同的服务器
..
POST方法总是返回403禁止
我已阅读 Django - CSRF验证失败以及与此相关的几个问题(和答案) django和POST方法。我最好的但不是工作的答案之一是 https://stackoverflow.com/a/4707639/755319 所有批准的答案建议至少3件事: 使用RequestContext作为render_to_response_call的第三个参数 使用POST方法在每个窗体中添加{
..
如何将Django HttpResponse转换为Django渲染调用
我有以下代码 def ajax_login_request(request): try: 请求。 POST [u'login'] dictionary = request.POST except: dictionary = request.GET user = authenticate(username = dictionary [u'login'],password =
..
CSRF验证失败,但仅适用于IE9
我已按照 Django docs (使用Django 1.3)中所述设置了CSRF 。它适用于FF和Safari,但在IE9上,我得到
Forbidden(403)
CSRF验证失败。请求已中止。 在Ajax请求的响应头文件中,我
..