我的网站提供预订功能。允许每个用户创建自己的预订系统并根据他的需要进行配置(添加服务,类别,团队成员等)。
目前,我的django网站上可以访问用户创建的每个预订系统,进行预订不需要用户登录,也不保存有关预订用户的任何信息。识别预订的人是基于向导末尾提供的电子邮件地址。
为了使预约成为可能,我创建了4步动态向导(带有ajax请求的django模板),每个系统网站都可以通过ajax请求访问它。
正如您可能想象的那样,每个系统预订页面都非常通用,在我的网站上创建预订系统的用户可能希望将动态向导嵌入他们自己的网站(纯前端)。我想允许我的用户以这种方式这样做,他们唯一要做的就是包括jquery,css样式表和ajax请求,用我的向导填充他们的div:
<div id="reservation-wizard"></div>
<script>
$(document).ready(function(){
$.ajax({
type: 'GET',
url: 'http://127.0.0.1:8000/b/system_owner_name/system_name/reservation-wizard/',
success: function(data){
$('#reservation-wizard').html(data);
}
});
});
</script>
到目前为止,我遇到的第一个问题是Access-Control-Allow-Origin,但我通过安装django-cors-headers解决了这个问题,并且仅在向导网址上允许CORS。
现在接下来就是CSRF代币。到目前为止,我正在使用django docs中的这个方法来获取我的ajax请求的CSRF令牌:
function getCookie(name) {
var cookieValue = null;
console.log(cookieValue);
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
但显然它不想与CORS合作。
我很想完全禁用这个向导的csrf令牌,但我不确定我应该期待什么样的反响。我的理由是 - 如果我的向导完全忽略了预订的用户,我真的需要CSRF令牌吗?
如果它允许某种重大安全漏洞,在这种情况下如何处理CSRF令牌?