Django DRF CSRF令牌丢失 - DRF删除了request.POST数据?

时间:2017-03-03 21:08:07

标签: django django-rest-framework csrf-protection

我正在使用Django Rest的可浏览API来使用会话身份验证进行POST,并且即使提供了CSRF令牌也会丢失。我正在寻求有关配置我的ModelViewSet子类的建议,以便这样做。

这是我的观点:

class TreeAPI(ModelViewSet):
    authentication_classes = (SessionAuthentication,)
    queryset = Tree.objects.get_roots()
    parser_classes = (JSONParser, FormParser, MultiPartParser)
    permission_classes = (IsAdminUser,)
    throttle_classes = (TreeThrottle,)
    serializer_class = TreeSerializer

我可以使用DRF Browsable API来GET此端点,但当我使用它POST到此端点时,我得到一条带有CSRF token missing or incorrect消息的403。

当我在the constructor to rest_framework.request.Request中设置断点时,我可以看到传入的请求包含所需的csrfmiddleware令牌:

enter image description here

在Django Rest的Request课程中,POST实际上是一个属性:

@property
def POST(self):
    if not _hasattr(self, '_data'):
        self._load_data_and_files()
    if is_form_media_type(self.content_type):
        # self.data is an empty QueryDict!
        return self.data
    return QueryDict('', encoding=self._request._encoding)

request.POST不再包含csrfmiddlewaretoken密钥;它被剥去了表格提供的所有密钥:

empty QueryDict

因此,传递给rest_framework.authentication.SessionAuthentication.enforce_csrf(request)的参数会传递给django.middleware.csrf.CsrfViewMiddleware.process_view,但找不到csrfmiddlewaretoken令牌:

        if request.method == "POST":
            request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')

我可以检查什么?这里有哪些可能的错误来源?

考虑

  • 对停用CSRF不感兴趣
  • 对使用令牌身份验证不感兴趣
  • 熟悉如何使用CSRF令牌及其上的Django文档
  • 熟悉Django REST's docs on CSRF tokens
  • 这是内置的Django REST可浏览API;没有修改UI中的任何内容

编辑1 - 中间件 

MIDDLEWARE_CLASSES = (
    'django.middleware.common.CommonMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
)

EDIT 2 - 软件版本   - djangorestframework == 3.3.3   - Django == 1.9.8

编辑3 - git项目可能相关的问题

编辑4 - 可能相关的堆栈溢出帖子
  - Having a POST'able API and Django's CSRF Middleware
  - How to make a POST simple JSON using Django REST Framework? CSRF token missing or incorrect
  - How to make a Django-Rest-Framework API that takes POST data?
  - Django Rest Framework, ajax POST works but PATCH throws CSRF Failed: CSRF token missing or incorrect
  - http://www.django-rest-framework.org/api-guide/parsers/#formparser

1 个答案:

答案 0 :(得分:0)

此问题未在djangorestframework==3.5.4中显示。见http://www.django-rest-framework.org/topics/release-notes/;我觉得这是在3.3.x之后修复的。

相关问题
最新问题