使用js的django csrf标记

时间:2016-03-21 12:48:11

标签: javascript django

我试图在html页面中添加一个带有js的表单(比如加载页面时的html标记{%csrf_token%}):

table += "<td><form action='' method='post'>";
table += "<input type='submit' value='Delete?' />";
table += "</form></td>;
$("#tbody").append(table);

我的问题是我收到了csrf验证错误:

Forbidden (403)
CSRF verification failed. Request aborted.
Help
Reason given for failure:
    CSRF token missing or incorrect.

我尝试添加自定义csrf令牌:

var buf = new Uint8Array(1);
window.crypto.getRandomValues(buf); 

table += "<input type='hidden' name='csrfmiddlewaretoken' value='" + buf[0] + "'>";

但我仍然收到错误。

我在我的js文件中还有以下代码(我从django网站获得 - 我不知道它是如何工作的......):

//enable csrf post ajax

//This function gets cookie with a given name
function getCookie(name) {
 var cookieValue = null;
 if (document.cookie && document.cookie != '') {
     var cookies = document.cookie.split(';');
     for (var i = 0; i < cookies.length; i++) {
         var cookie = jQuery.trim(cookies[i]);
         // Does this cookie string begin with the name we want?
         if (cookie.substring(0, name.length + 1) == (name + '=')) {
             cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
         break;
     }
 }
 }
 return cookieValue;
}
var csrftoken = getCookie('csrftoken');

/*
The functions below will create a header with csrftoken
*/

function csrfSafeMethod(method) {
 // these HTTP methods do not require CSRF protection
 return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

$.ajaxSetup({ 
 beforeSend: function(xhr, settings) {
     if (!csrfSafeMethod(settings.type) && !this.crossDomain && 
        (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url)))) {
     // Only send the token to relative URLs i.e. locally.
     xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
     }
 } 
});

有没有办法用js按照我尝试的方式添加csrf标记,或者它不能?

2 个答案:

答案 0 :(得分:4)

django为csrftoken提取提供的Javascript代码将csrftoken值赋给名为csrftoken的变量

您可以通过变量名访问它,如下所示:

table += "<input type='hidden' name='csrfmiddlewaretoken' value='" + csrftoken + "'>";

在访问csrftoken

之前,请确保您已在网页中包含django提供的js

另外,正如@Sander指出的那样,如果您使用的是内联JS,则可以直接使用csrf_token模板标记。

table += "{% csrf_token %}";

答案 1 :(得分:1)

是否将js作为内联js添加到django模板中?

在这种情况下,你可以这样做:

table += "<td><form action='' method='post'>";
table += "{% csrf_token %}";
table += "<input type='submit' value='Delete?' />";
table += "</form></td>;
$("#tbody").append(table);