django-csrf相关内容

如何在javascript中使用{%csrf_token%}

在我的用户页面中,我使用ajax进行编辑。当我点击编辑时,它工作正常。但是当我提交表格时,它什么也没做。当我选中时,这是错误: CSRF验证失败。请求已中止。 那么,如何在我的javascript中放置{%csrf_token%}?请指教。 谢谢。 edit.js: function bookmark_edit(){ var item = $(this).parent ..
发布时间:2019-05-25 16:36:14 前端开发

如何使用CSRF中间件修改基于类的View中的文件上传处理程序?

在我的Django项目中,我将不得不修改文件上传处理程序的元组“即时”如文档,以便能够在上传文件流时修改文件流。我需要这个“即时”,因为我必须提供处理程序的一些数据从视图(见下面的代码中的 setup()方法)。 如果您使用CSRF保护,文档还提到如何处理此问题。这是特别的,因为CSRF保护中间件在请求中访问POST数据,导致文件上传过程将在我的View被调用之前被触发。但是,这仅仅是对于旧 ..
发布时间:2017-06-06 21:01:22 其他开发

django csrf cookie不再工作

我不明白为什么,但Django已经停止在响应中包含csrf cookie。我启用了中间件,尝试使用RequestContext并且使用了render。我甚至尝试使用csrf_protect和requires_csrf_token装饰器。 我现在正在开发一个服务器,我可以在使用RequestContext之后打印上下文,似乎包括csrf_token。 但是,当我使用Chrome的检查元素 ..
发布时间:2017-05-31 01:16:36 其他开发

用于HTTP和HTTPS的Django CSRF

CSRF令牌在每个表单中都可用,因为它可以在HTTP和HTTPS之间运行,并且遇到csrf令牌验证问题。应该是,但是当我在HTTP版本的网站,并尝试提交一个注释我得到以下错误。 禁止(403) CSRF验证失败。请求已中止。 参考检查失败 - http:// mysite.com/blog/1/ 与 https://mysite.com/ 不符。 通过HTTPS查看博客可以正常 ..
发布时间:2017-05-30 17:07:31 其他开发

Django:如何覆盖CSRF_FAILURE_TEMPLATE

如果csrf检查失败,Django将显示403错误的页面。 在我看来,这种错误可能会发生在常规使用中,例如,当用户禁用cookie使用在他的浏览器设置中。 不幸的是,这个错误消息对最终用户来说不是很有帮助,并且有一个“django-error”布局(这是一个问题,因为例如,网站导航缺少)。 Django有一个很好的机制来覆盖模板,但似乎这个模板在代码中是硬编码的。 https:/ ..
发布时间:2017-05-30 07:00:02 Python

Django管理员引发CSRF验证失败

我已经开始新的django项目并启用了管理员应用程序。 我可以登录管理员网站,但是当我试图添加/更改网站或用户我得到 CSRF验证失败。请求中止。 失败的原因: CSRF令牌丢失或不正确。 这是我在settings.py中的: TEMPLATE_LOADERS =( 'django.template.loaders.filesystem.Loader', ..
发布时间:2017-05-30 06:42:27 Python

具有CSRF / CORS的TokenAuthentication问题的Django REST框架

我在Django REST框架中使用TokenAuthentication让脚本远程访问我的API。运行API的域位于TLS证书后面。 我已经通过多个来源浏览过,并尝试了许多选项,然后再来看看我的问题。总之,我继续得到 CSRF验证失败。请求中止。当我尝试发布时出错。 这是我的观点: #@csrf_exempt @api_view(['POST']) @authentica ..
发布时间:2017-05-30 03:23:13 其他开发

使用uploadify修复django csrf错误

我在我的django管理员中使用uploadify,但是我收到403错误。当我使用 @csrf_exempt 时,错误消失了,但这是非常危险的。 有没有更好的方法来解决这个问题,而不会影响管理页面使用@csrf_exempt装饰器? 感谢提前 解决方案 @Paul McMillan我面对同样的问题, csrf 保护一个观点,做一个小的&丑陋的解决方法提供基本的csrf验证,这里 ..
发布时间:2017-05-30 02:46:46 其他开发

Django的评论框架和CSRF

我知道 Django的评论框架是为匿名的公众意见,像你通常看到一个博客或一个artcile下面。换句话说,任何人都可以发表评论。 我正在使用评论框架,只允许登录的用户显示评论。 我曾经修改过 form.html ,并隐藏名称, URL 和电子邮件字段(使安全字段保持不变)。所以用户只能看到一个注释字段。我想使用Django的评论,因为它已经有一些很好的安全功能,如时间戳检查,蜜罐字段和反双重 ..
发布时间:2017-05-30 02:00:34 Python

如何从命令行获取CSRF令牌?

我经常使用 curl 来测试我的应用程序,过去我不得不用 csrf_exempt 。我真的不想这样做,因为我有一种讨厌的感觉,我会忘记在部署中这样做,并享受一生的CSRF地狱。 是有一种方法可以使用Django的shell命令请求一个CSRF令牌?我想得到一个令牌,我可以用我的 curl 请求来安全地测试事情。 解决方案 向表单URL发出初始GET请求,以填充cookie jar: ..
发布时间:2017-05-30 01:33:03 其他开发

无模板Django + AJAX:Django的CSRF令牌在浏览会话过程中是否得到更新?

我目前的设置是AngularJS + Django 1.5,我完全抛弃了使用Django的模板引擎(即后端几乎是一个API服务器)。 由于我没有使用 csrf_token 模板标签,反过来,Django不会设置并发送 csrftoken cookie作为回应。根据官方文档的指示,应使用 ensure_csrf_cookie()装饰器强制装饰视图发送 csrftoken 曲奇饼。 我已经 ..
发布时间:2017-05-29 23:50:38 前端开发

Django:POST表单需要CSRF? GET不?

是否需要使用POST方法的表单具有CSRF保护?我正在跟着一本书,代码示例抛出403错误。我做了一些搜索,似乎我需要启用所有形式的CSRF。 我的问题是: Django是否现在要求所有POST表单受到CSRF的保护? 我需要做的完成这个是添加'django.middleware.csrf.CsrfViewMiddleware',返回render_to_response(templ ..
发布时间:2017-05-29 23:02:51 其他开发

在什么情况下可以免除CSRF危险?

这个问题比一个直接关于如何编码的再保险更重要。作为一个autodidact我没有很多的可能性要求专业人士这样的事情,所以我尝试这里。 我已经阅读django-docs文件( https://docs.djangoproject.com/en/1.3/ref/contrib/csrf/ )和该页面上的一些信息: http://cwe.mitre.org/ top25 /#CWE-352 ..
发布时间:2017-05-29 21:35:16 其他开发

Django - 禁止(CSRF cookie未设置)

我有一个中等流量的Django网站(每天约4000/5000次访问)。今天我在settings.py上配置了“LOGGING”选项,发送一个包含“Info”级别的电子邮件,只需检查一切是否正常... 有我的惊喜,我收到以下错误: [Django]警告(EXTERNAL IP):禁止(CSRF cookie未设置。) 没有堆栈跟踪 ..
发布时间:2017-05-29 19:02:53 其他开发

POST方法总是返回403禁止

我已阅读 Django - CSRF验证失败以及与此相关的几个问题(和答案) django和POST方法。我最好的但不是工作的答案之一是 https://stackoverflow.com/a/4707639/755319 所有批准的答案建议至少3件事: 使用RequestContext作为render_to_response_call的第三个参数 使用POST方法在每个窗体中添加{ ..
发布时间:2017-05-29 08:30:56 其他开发

CSRF与Django,React + Redux使用Axios

这是一个教育项目,而不是生产。我不打算将用户登录作为其中的一部分。 可以使用CSRF令牌对Django进行POST调用,而无需用户登录?我可以不使用jQuery吗?我在这里不在我的深度,肯定混淆了一些概念。 对于JavaScript端,我发现这个 redux-csrf 包。我不知道如何将它与我的 POST 动作结合使用Axios: export const addJob =(t ..
发布时间:2017-05-29 06:25:58 其他开发