没有csrf令牌我得到403响应,所以看起来我需要它。我目前正在尝试这样做:
import requests
import sys
URL = 'http://127.0.0.1:8000/toasterinfo'
client = requests.session()
# Retrieve the CSRF token first
client.get(URL) # sets cookie
csrftoken = client.cookies['csrf']
r = client.post(URL, data={'number': 12524,
'type': 'issue', 'action': 'show', "csrfmiddlewaretoken": csrftoken}, headers=dict(Referer=URL))
print(r)
然而我收到了一个错误:
Traceback (most recent call last):
File "django_client.py", line 10, in <module>
csrftoken = client.cookies['csrftoken']
File "/Library/Frameworks/Python.framework/Versions/2.7/lib/python2.7/site-packages/requests/cookies.py", line 327, in __getitem__
return self._find_no_duplicates(name)
File "/Library/Frameworks/Python.framework/Versions/2.7/lib/python2.7/site-packages/requests/cookies.py", line 398, in _find_no_duplicates
raise KeyError('name=%r, domain=%r, path=%r' % (name, domain, path))
KeyError: "name='csrftoken', domain=None, path=None"
我做错了什么?
答案 0 :(得分:1)
CSRF令牌是客户端到服务器安全功能,可保护您的用户免受跨站点请求伪造。
您正在执行服务器到服务器请求,因此CSRF无用。您应该考虑删除CSRF的要求,并使用适当的身份验证方法来处理服务器到服务器的请求。
您可以删除在视图中使用以下装饰器的CSRF令牌验证。
@csrf_exempt
请参阅https://docs.djangoproject.com/en/dev/_modules/django/views/decorators/csrf/#csrf_exempt
具有HTTPS连接的基于令牌的身份验证方法可能适合您的情况。
答案 1 :(得分:0)
这不是最安全的方法,但您可以在该视图中添加装饰器以排除CSRF验证,并且您的POST不会失败。
from django.views.decorators.csrf import requires_csrf_token
@requires_csrf_token
def your_view(request):
# your code...
此解决方案仅适用于您了解删除CSRF验证的风险。