我正在制作一个登录表单的应用程序但是当我运行我的应用程序并单击登录按钮时会出现以下错误
禁止(403) CSRF验证失败。请求已中止。
view.py的代码如下:
from django.template import loader
from django.shortcuts import render_to_response
from registration.models import Registration
from django.http import HttpResponse
from django.template import RequestContext
from django.shortcuts import redirect
def view_login(request,registration_id):
t = loader.get_template('registration/login.html')
try:
registration=Registration.objects.get(pk=registration_id)
except Registration.DoesNotExist:
return render_to_response("login.html",{"registration_id":registration_id})
def home(request,registration_id):
if request.method == "POST":
username = request.POST.get('user_name')
password = request.POST.get('password')
user = authenticate(username=username, password=password)
if user is not None:
if user.is_active:
login(request, user)
# success
return render('registration/main_page.html',{'registration_id':registration_id},context_instance=RequestContext(user))
else:
#user was not active
return redirect('q/',context_instance=RequestContext(user))
else:
# not a valid user
return redirect('q/',context_instance=RequestContext(user))
else:
# URL was accessed directly
return redirect('q/',context_instance=RequestContext(user))
答案 0 :(得分:16)
您需要在表单中添加{% csrf_token %}
https://docs.djangoproject.com/en/1.4/ref/contrib/csrf/
像那样:<form>
{% csrf_token %}
<anything_else>
</form>
此外,每次使用render_to_response时都必须使用RequestContext(request):
return render_to_response("login.html",
{"registration_id":registration_id},
context_instance=RequestContext(request))
您必须导入身份验证并登录:
from django.contrib.auth import authenticate, login
答案 1 :(得分:2)
我在使用“Django权威指南”一书时遇到了这个问题,其中使用了1.1版本。本书未涉及在更高版本中强制要求的csrf_token验证。
要解决此问题,请添加:
from django.template import RequestContext
到views.py文件和这个为render_to_response函数添加的参数:
context_instance = RequestContext(request)
请务必在模板中的{% csrf_token %}标记中添加<form>
答案 2 :(得分:2)
只是评论
'django.middleware.csrf.CsrfViewMiddleware'
,对我有用:
//settings.py
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
#'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
除非您以某种方式管理CSRF,否则可能会出现安全漏洞,并且不会推荐,因为您对CSRF攻击很敏感
答案 3 :(得分:0)
当“禁止(403)CSRF验证失败。请求中止”时,您也可以执行以下操作:
选项(2)(不推荐)
导入:
from django.template.context_processors import csrf
添加到上下文:
context = {}
context.update(csrf(request))
返回:
-Django> 1.9具有“上下文”而不是“ context_instance”
return render_to_response("login.html",
{"registration_id":registration_id},
context=context)
选项(3)(首选)
导入:
-而不是导入“ render_to_response”,而是导入“ render”
from django.shortcuts import render
返回:
return render(request, "login.html", context)
显然,选项3是可取的,因为“ render”比“ render_to_response”短,尤其是在需要导入和添加内容的情况下。我可以想象选项2保持更精简的上下文指示,但这似乎微不足道(?)。
为清楚起见:
如上所述,两个解决方案仍然需要您的html表单中的{%csrf_token%}。并且从不关闭或评论csrf中间软件。
来源:
old Django 1.9 docs on RequestContext
答案 4 :(得分:-1)
method: 'POST',
headers: {
'Content-Type': 'application/json',
"X-CSRFToken": $("[name=csrfmiddlewaretoken]").val()
},
{% csrf_token %} => add this inside header tag in html
答案 5 :(得分:-1)
虽然这可能不是 OP 的问题,但我发现从 ezoic 添加验证代码实际上搞砸了我的 CSRF 过程。添加代码破坏了我的网站登录过程,也可能破坏了其他表单。