CSRF令牌丢失或不正确。 Django + Angular 2

时间:2018-03-29 00:28:17

标签: django angular

我得到" CSRF失败:CSRF令牌丢失或不正确。"从我的localhost机器向django api发出POST请求时出错。

我在Angular2上的服务:

public login(user: any){
      const body = JSON.stringify(user);
      const headers = new Headers();
      headers.append('Content-Type', 'application/json');
      return this.http.post("http://127.0.0.1:8000/auth_api/login/", body, {
        headers: headers
      })
        .map((data: Response) => data.json())
    }

我在Django上的设置:

INSTALLED_APPS = [
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'rest_framework',
    'corsheaders',
    'scrumboard',
    'auth_api'
]


MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
CORS_ORIGIN_ALLOW_ALL = True

我的LoginView API:

class LoginView(views.APIView):
@csrf_exempt
def post(self, request):
    user = authenticate(
        username=request.data.get("username"),
        password=request.data.get("password"))

    if user is None or not user.is_active:
        return Response({
            'status': 'Unauthorized',
            'message': 'Email or password incorrect'
        }, status=status.HTTP_401_UNAUTHORIZED)

    login(request, user)
    return Response(UserSerializer(user).data)

最后我的login.component.html我将发送到登录功能的用户名和密码:

<div class="card-block">
              <h1>Login</h1>
              <p class="text-muted">Sign In to your account</p>
              <form [formGroup]="myForm" (ngSubmit)="onSignin(username.value, password.value)">
              <div class="input-group mb-1">
                <span class="input-group-addon"><i class="icon-user"></i></span>
                <input formControlName="username" type="text" id="username" class="form-control" placeholder="username" #username>
              </div>
              <div class="input-group mb-2">
                <span class="input-group-addon"><i class="icon-lock"></i></span>
                <input formControlName="password" type="password" class="form-control" placeholder="Password" #password>
              </div>
              <div class="row">
                <div class="col-6">
                  <button type="submit" [disabled]="!myForm.valid" class="btn btn-primary px-2">Login</button>
                </div>
              </div>
            </form>
            </div>

我在这里缺少什么?

2 个答案:

答案 0 :(得分:0)

可能不是问题,但密码是如何在您的登录功能中发送的?

尝试在{% csrf_token %}标记下方添加<form...

如果CSRF引入跨网站请求伪造漏洞,我会毫不犹豫地制作。

这是我在注册页面上运行的一些代码。

<form class="form-horizontal" method="post" style="align: center">
          {% csrf_token %}
          {{ reg_form.non_field_errors }}
...

答案 1 :(得分:0)

如果您尚未与API服务器进行过互动,则可能无法在您登录的时间点设置CSRF令牌。

您想要修饰post方法,以便它不需要令牌,然后只检查令牌以响应实际返回数据的其他后续POST请求...

from django.views.decorators.csrf import csrf_exempt

@method_decorator(csrf_exempt, name='dispatch') class LoginView(views.APIView): def post(self, request): ...

相关问题
最新问题