没有csrf令牌的django上的curl请求

时间:2017-02-01 11:02:45

标签: django django-csrf

我使用Django REST框架在Heroku上运行了一个django项目 我使用以下中间件:

    MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

以下是我基于班级的观点之一:

class CommunityMemberView(APIView):
    permissions_classes = [IsAuthenticated, ]
    serializer_class = CommunitySerializer

    def post(self, request, community_id=None):
    """
    add the member identified by 'id'
    to the community 'community_id', if it exists.
    """
    data = request.data
    id = data.get('id')
    account = Account.objects.get(id=id)
    community = Community.objects.get(id=community_id)
    community.add_member(account)
    serializer = self.serializer_class(community, context={'request': request})

    return Response(serializer.data, status=status.HTTP_201_CREATED)

当我尝试使用curl执行POST请求,并且没有任何csrf令牌时,它工作正常,我不知道为什么。我没有使用任何装饰,但如果我正确理解django文档,我就不需要了。

 curl -v -H "content:application/json" -X POST -H "Content-Type:application/json" -d '{"id":"3"}' https://www.example.com/api/v1/community/2/member/ | python -m json.tool

我猜测有一个明显的原因,但是我无法在django doc或Stack Overflow中找到它,之前关于相关主题的所有问题都是为什么它不是工作,而不是相反。

由于

1 个答案:

答案 0 :(得分:0)

我假设你正在使用django-rest-framework

除非您使用@csrf_excempt

,否则DRF视图会被SessionAuthentication装饰者包裹

请参阅http://www.django-rest-framework.org/topics/ajax-csrf-cors/