我发现了一个问题/错误?在AJAX中使用CSRF。我根本不使用{% csrf_token %}。我只使用AJAX表单 - 没有为csrf设置cookie。在taht的情况下 - enter link description here是无用的:(
我可以使用get_token来生成它,但我必须把它放在我的所有网站中,所以没有任何意义。
如何在不使用csrf标签的情况下制作该cookie?
答案 0 :(得分:1)
任何随机的32位字母数字字符串都可用作令牌。只需将其保存在名为“csrftoken”的cookie中,然后将其与您的帖子一起提交。
这将自动生成令牌或重新使用现有令牌。它将处理页面上的所有表单提交。如果您有非现场表格,则需要确保他们不运行此代码。
<script>
$(document).on('submit', 'form[method=post]', function(){
if(!document.cookie.match('csrftoken=([a-zA-Z0-9]{32})')){
for(var c = ''; c.length < 32;) c += Math.random().toString(36).substr(2, 1)
document.cookie = 'csrftoken=' + c + '; path=/'
}
if(!this.csrfmiddlewaretoken) $(this).append('<input type="hidden" name="csrfmiddlewaretoken">')
$(this.csrfmiddlewaretoken).val(document.cookie.match('csrftoken=([a-zA-Z0-9]{32})')[1])
})
</script>
需要jQuery 1.7 +
答案 1 :(得分:0)
您可以在视图中使用csrf_exempt装饰器
https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#django.views.decorators.csrf.csrf_exempt
答案 2 :(得分:0)
如果您将csrf令牌压缩到服务器端的某个JS变量中,那么稍后您可以发送将被Django识别的自定义HTTP头
X-CSRFToken: {{ csrf_token }}}
另见Q&amp; A:Django CSRF failure on ajax post requests on Opera only
工作请求示例:
POST /main/uploadpage/ HTTP/1.1
Host: 127.0.0.1:8000
Connection: keep-alive
Content-Length: 505853
Origin: http://127.0.0.1:8000
X-File-Name: Screen Shot 2013-05-12 at 5.13.34 PM (2).png
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31
Content-Type: image/png
Cache-Control: no-cache
X-Requested-With: XMLHttpRequest
X-CSRFToken: 1kCcyDzpHIxicSzCqvuXUMbpGaXvFpCZ
Accept: */*
Referer: http://127.0.0.1:8000/main/uploadpage/
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
答案 3 :(得分:-1)
您是否考虑过禁用CSRF?
这样做只是删除中间件:'django.middleware.csrf.CsrfViewMiddleware',