我可以通过我的AJAX帖子使用一些符合Django的CSRF保护机制的帮助.我按照这里的指示:
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/
我已经完全复制了他们在该页面上的AJAX示例代码:
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax
我getCookie('csrftoken')在xhr.setRequestHeader打电话之前打印了一个警告打印内容,确实填充了一些数据.我不确定如何验证令牌是否正确,但我鼓励它发现并发送一些东西.
但是Django仍然拒绝我的AJAX帖子.
这是我的JavaScript:
$.post("/memorize/", data, function (result) {
if (result != "failure") {
get_random_card();
}
else {
alert("Failed to save card data.");
}
});
这是我从Django看到的错误:
[23/Feb/2011 22:08:29]"POST/memorize/HTTP/1.1"403 2332
我确定我错过了一些东西,也许这很简单,但我不知道它是什么.我一直在搜索SO,并看到一些关于通过csrf_exempt装饰器关闭CSRF检查我的视图的信息,但我发现它没有吸引力.我已经试过了,但它确实有效,但我宁愿让我的POST以Django的设计方式工作,如果可能的话.
为了防止它有用,这里是我的观点的主旨:
def myview(request):
profile = request.user.profile
if request.method == 'POST':
"""
Process the post...
"""
return HttpResponseRedirect('/memorize/')
else: # request.method == 'GET'
ajax = request.GET.has_key('ajax')
"""
Some irrelevent code...
"""
if ajax:
response = HttpResponse()
profile.get_stack_json(response)
return response
else:
"""
Get data to send along with the content of the page.
"""
return render_to_response('memorize/memorize.html',
""" My data """
context_instance=RequestContext(request))
谢谢你的回复!
真正的解决方
好的,我设法追查问题了.它位于Javascript(我在下面建议)代码中.
你需要的是这个:
$.ajaxSetup({
beforeSend: function(xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
// Only send the token to relative URLs i.e. locally.
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
}
}
});
而不是官方文档中发布的代码:http: //docs.djangoproject.com/en/1.2/ref/contrib/csrf/#ajax
工作代码来自这个Django条目:http://www.djangoproject.com/weblog/2011/feb/08/security/
所以一般的解决方案是:"使用ajaxSetup处理程序而不是ajaxSend处理程序".我不知道为什么会这样.但它对我有用:)
上一篇文章(无回答)
我实际上遇到了同样的问题.
它发生在更新到Django 1.2.5之后 - 在Django 1.2.4中没有AJAX POST请求的错误(AJAX没有受到任何保护,但它工作得很好).
就像OP一样,我尝试过在Django文档中发布的JavaScript代码段.我正在使用jQuery 1.5.我也在使用"django.middleware.csrf.CsrfViewMiddleware"中间件.
我试图遵循中间件代码,我知道它失败了:
request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '')
然后
if request_csrf_token != csrf_token:
return self._reject(request, REASON_BAD_TOKEN)
这个"if"是真的,因为"request_csrf_token"是空的.
基本上它意味着标头没有设置.那个JS系列有什么问题:
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
?
我希望提供的详细信息将有助于我们解决问题:)
如果使用该$.ajax功能,只需csrf在数据体中添加令牌即可:
$.ajax({
data: {
somedata: 'somedata',
moredata: 'moredata',
csrfmiddlewaretoken: '{{ csrf_token }}'
},
京公网安备 11010802040832号 | 京ICP备19059560号-6 