@csrf_exempt不适用于基于通用视图的类

时间:2014-12-05 12:08:49

标签: python django 

class ChromeLoginView(View):

     def get(self, request):
          return JsonResponse({'status': request.user.is_authenticated()})

     @method_decorator(csrf_exempt)
     def post(self, request):
          username = request.POST['username']
          password = request.POST['password']
          user = authenticate(username=username, password=password)
          if user is not None:
                if user.is_active:
                     login(request, user)
                     return JsonResponse({'status': True})
          return JsonResponse({'status': False})

我希望帖子确实由csrf停止,但它返回403错误。

但是如果删除那个装饰器并在URLConf中执行此操作

url(r'^chrome_login/', csrf_exempt(ChromeLoginView.as_view()), name='chrome_login'),

它会起作用。

这里发生了什么?它不应该起作用,因为我猜这是method_decorator的作用。 我使用的是python3.4和django1.7.1

任何建议都会很棒。

4 个答案:

答案 0 :(得分:68)

您需要修饰dispatch csrf_exempt方法才能正常工作。它的作用是将视图函数本身的csrf_exempt属性设置为True,中间件在(最外层)视图函数上检查此属性。如果只需要修饰一些方法,您仍然需要在csrf_exempt方法上使用dispatch,但您可以使用csrf_protect例如put() GET。如果使用HEADOPTIONSTRACEclass ChromeLoginView(View): @method_decorator(csrf_exempt) def dispatch(self, request, *args, **kwargs): return super(ChromeLoginView, self).dispatch(request, *args, **kwargs) def get(self, request): return JsonResponse({'status': request.user.is_authenticated()}) def post(self, request): username = request.POST['username'] password = request.POST['password'] user = authenticate(username=username, password=password) if user is not None: if user.is_active: login(request, user) return JsonResponse({'status': True}) return JsonResponse({'status': False}) HTTP方法,则不会检查您是否装饰它。 

{{1}}

答案 1 :(得分:68)

正如@knbk所说,这是必须装饰的dispatch()方法。

自Django 1.9以来,you can use the method_decorator directly on a class

from django.utils.decorators import method_decorator

@method_decorator(csrf_exempt, name='dispatch')
class ChromeLoginView(View):

    def get(self, request):
        return JsonResponse({'status': request.user.is_authenticated()})

    def post(self, request):
        username = request.POST['username']
        password = request.POST['password']
        user = authenticate(username=username, password=password)
        if user is not None:
            if user.is_active:
                login(request, user)
                return JsonResponse({'status': True})
        return JsonResponse({'status': False})

这可以避免覆盖dispatch()方法只是为了装饰它。

答案 2 :(得分:2)

如果您正在寻找符合您需求的Mixins,则可以创建CSRFExemptMixin并将其扩展到您的视图中,而无需在每个视图中都编写上述语句:

class CSRFExemptMixin(object):
   @method_decorator(csrf_exempt)
   def dispatch(self, *args, **kwargs):
       return super(CSRFExemptMixin, self).dispatch(*args, **kwargs)

之后,像这样扩展您的视图。

class ChromeLoginView(CSRFExemptMixin, View):

您可以根据需要在任何视图中进行扩展,这就是可重用性! :-)

干杯!

答案 3 :(得分:0)

Django braces为此提供了CsrfExemptMixin

from braces.views import CsrfExemptMixin

class ChromeLoginView(CsrfExemptMixin, View):
    ...
相关问题
最新问题