Django 1.8格式错误后没有CSRF令牌

时间:2015-09-25 09:11:46

标签: django django-forms django-templates django-views

我最近将我的网站升级为Django 1.8,并在发布我的注册(用户注册)表单时收到“ImportError No module named lib”。具体来说,如果用户注册了某个帐户且其密码不匹配,我的form将显示错误。如果他们输入匹配的密码,我会收到以下Django错误:

Request Method: POST
Request URL: http://localhost:8000/create_account/

Django Version: 1.8.4
Python Version: 2.7.5
Installed Applications:
['django.contrib.auth',
 'django.contrib.contenttypes',
 'django.contrib.sessions',
 'django.contrib.sites',
 'django.contrib.messages',
 'django.contrib.staticfiles',
 'django.contrib.admin',
 'account',
 'home',
 'members',
 'profile']
Installed Middleware:
('django.contrib.sessions.middleware.SessionMiddleware',
 'django.middleware.common.CommonMiddleware',
 'django.middleware.csrf.CsrfViewMiddleware',
 'django.contrib.auth.middleware.AuthenticationMiddleware',
 'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
 'django.contrib.messages.middleware.MessageMiddleware',
 'django.middleware.clickjacking.XFrameOptionsMiddleware',
 'django.middleware.security.SecurityMiddleware')

Traceback:
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/core/handlers/base.py" in get_response
  125.                     response = middleware_method(request, callback, callback_args, callback_kwargs)
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/middleware/csrf.py" in process_view
  189.                 return self._reject(request, REASON_BAD_TOKEN)
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/middleware/csrf.py" in _reject
  101.         return _get_failure_view()(request, reason=reason)
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/middleware/csrf.py" in _get_failure_view
  33.     return get_callable(settings.CSRF_FAILURE_VIEW)
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/utils/lru_cache.py" in wrapper
  101.                     result = user_function(*args, **kwds)
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/core/urlresolvers.py" in get_callable
  112.             if submod and not module_has_submodule(import_module(parentmod), submod):
File "/System/Library/Frameworks/Python.framework/Versions/2.7/lib/python2.7/importlib/__init__.py" in import_module
  37.     __import__(name)

Exception Type: ImportError at /create_account/
Exception Value: No module named lib

从堆栈跟踪中可以看出,当表单以匹配的密码发布时,中间件的响应被认为是无效的,之后控制甚至返回到显示表单的create_account视图。我在urlresolvers.py模块中设置了一个断点,发现无法找到的模块是“lib.local_csrf”。我应该补充说,表单本身由signin(身份验证)表单和相关的注册(注册)表单组成,两个表单都包含csrf_token标记:

# home/templates/home.html
<form action="{% url 'sign-in' %}" method="post">
    {% csrf_token %}

    <!-- error fields appear here -->
    {% for field in sign_in_form.visible_fields %}
        {{ field.label_tag }}
        {{ field }}

    <input type="submit" value="Sign in">
    <a href="#">Forgot password?</a>
</form>

<form action="{% url 'create-account' %}" method="post">
    {% csrf_token %}

    <!-- error fields appear here -->
    {% for field in create_account_form.visible_fields %}
        {{ field.label_tag }}
        {{ field }}
    {% endfor %}

    {% for hidden in form.hidden_fields %}
        {{ hidden }}
    {% endfor %}

    <input type="submit" value="Sign up">
</form>

这是create_account视图:

# account/views.py
def create_account(request, template):
    # Initialize the signin form on the same page.
    sign_in_form = SignInAuthenticationForm(request, label_suffix="")

    if request.method == "POST":
        create_account_form = CreateAccountForm(request.POST, label_suffix="")
        if create_account_form.is_valid():
            user = User.objects.create_user(
                username = create_account_form.cleaned_data['username'],
                password = create_account_form.cleaned_data['password1']
            )

            # Create a new account.
            account = Account(user=user)
            account.save()
            # Do other stuff and then redirect user to next form
    else:
        create_account_form = CreateAccountForm(label_suffix="")
    return render_to_response(template, locals())

最有趣的是,当我在django.middleware.csrf的process_view中设置断点时,当用户最初使用不匹配的密码提交表单时,csrf_token和request_csrf_token变量都包含相同的值。但是当他们输入匹配的密码并第二次重新提交表单时,csrf_token包含令牌值,但request_csrf_token为空。事实证明,当用户重新提交表单时,request.POST ['csrfmiddlewaretoken']不在request.POST字典中。我不明白为什么会这样。

这种形式在Django 1.6中运行得非常好,但它在1.8(或可能是1.7)中停止工作。我查看了1.7和1.8发行说明,但没有看到CSRF功能的任何更改。我还阅读了与CSRF相关的模板文档,并没有看到任何新内容。对此错误进行在线搜索也没有出现任何问题。

我怀疑你们中的一些人会建议我使用django-registration-redux库。由于我的注册工作流程,我认为我不能使用它。您可以看到,在用户在此表单上注册后,他们会在输入用户个人资料时首先重定向到某个页面,然后再转到可以上传照片的页面,然后再转到页面以查看和批准他们的个人资料和照片。之后,它们被转发到我的支付处理器。如果我的付款处理方告诉我他们的付款方式已获批准,他们才真正注册了有效帐户。

感谢。

1 个答案:

答案 0 :(得分:1)

实际错误No module named lib似乎是因为Django无法导入您在设置中指定的CSRF_FAILURE_VIEW。你可以尝试从你的设置中删除它,然后Django应该显示默认的CSRF失败页面而不是错误。我无法说明导入失败的原因,因为您还没有显示CSRF_FAILURE_VIEW或您的项目结构。

要解决CSRF错误,请尝试使用render快捷方式而不是render_to_response。它使用请求上下文呈现模板,以便csrf_token标记起作用。

# avoid locals() if possible!
return render(request, template, {...})
相关问题
最新问题