我有一点奇怪的问题。我正在写一个简单的小应用程序,需要将一些东西发回到django视图。我按照此处的指南进行操作:https://docs.djangoproject.com/en/1.7/ref/contrib/csrf/设置ajax标头并在我的js中包含以下代码:
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');
console.log(csrftoken)
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
我的html中有一个带有代码的表单:
<form onsubmit="return false;">
{% csrf_token %}
<input type="text" id="map-id-input"/>
<button id="map-id-btn" class='btn btn-default custom-btn'>
Go
</button>
</form>
我还有一段js代码,当点击上面的按钮时会运行:
$(function() {
$("#map-id-btn").click(function() {
checkMapID();
})
})
function checkMapID() {
var mapId = $("#map-id-input").val();
$.ajax({
url: "check_map_id/",
type: "POST",
dataType: "json",
data: {
csrfmiddlewaretoken: csrftoken,
map_id: mapId,
},
success: function(status_dict) {
if (status_dict.status === 1) {
$("#status").html("Valid map ID <br> Loading Data...")
window.location = status_dict.url;
}
else {
$("#status").html("Invalid map ID. Please try again, or contact ...")
}
},
error: function(result) {
console.log(result)
}
});
}
我的所有Javacript都在一个文件中,放在我模板的顶部。
捕获网址的视图&#39; check_map_id /&#39;是:
@ensure_csrf_cookie
def check_map_id(request):
map_id = request.POST['map_id']
if map_id not in GEOJSON_LOOKUP.keys():
status = json.dumps({
'status': 0,
'url': '',
})
return HttpResponse(status, content_type="application/json")
else:
status = json.dumps({
'status': 1,
'url': reverse('map', args=(map_id,)),
})
return HttpResponse(status, content_type="application/json")
现在,当我使用firefox在本地计算机上运行应用程序时,我会将一个有效的csrf令牌打印到控制台。如果我在我的本地机器上以chrome或IE启动应用程序,我会打印一个null。在网站上回应相同的行为。我使用linux(薄荷),奇怪的是,如果我在Windows机器上启动firefox中的应用程序,它也会在firefox中返回null。这里发生了一件奇怪的事!有任何想法吗?我似乎正在完成django文档建议的内容。
更新: 我将@ensure_csrf_cookie添加到我的索引视图中,现在我在本地计算机上的两个broswers上都打印出一个令牌。但是,代码无法在我的实时服务器上运行。如果我在我的js中查看一些随机的console.logs,它会显示在实时服务器上,以便运行代码。我真的很茫然。
UPDATE2: 所以我已经确定问题是在我的实时网站上,没有设置document.cookie属性。我想csrftoken =&#34; ...&#34; cookie由django设置。它似乎是在我的本地机器上设置它而不是在我的实际站点上。代码完全相同:/。到底是怎么回事?!
答案 0 :(得分:4)
确定。我发现了问题!这是一个简单的例子,首先不是将csrf令牌实际发送到html页面。我专注于ajax调用,这实际上是正确的。
我更改了实际呈现违规表单的页面的视图:
@ensure_csrf_cookie
def index(request):
context = RequestContext(request)
return render_to_response('vis_it_app/index.html', context)
这里的关键是'RequestContext',默认情况下也会发送csfr令牌。这是一项任务......
总结一下。使这项工作。
确保使用RequestContext和@ensure_csrf_cookie
确保{%csrf_token%}位于您表单中的某个位置
在此处添加AJAX特定代码:https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax到您的网页JavaScript
确保通过以下方式将中间件令牌与ajax数据一起发送:
$。AJAX({ 网址:“...”, 类型:“POST”, 数据类型: ”...”, 数据:{ csrfmiddlewaretoken:csrftoken, ... },
那应该这样做。