记一次解决Django 403

最新推荐文章于 2023-11-27 21:16:21 发布
最新推荐文章于 2023-11-27 21:16:21 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: python 文章标签: CSRF cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/virnet/article/details/75269812
版权

想直接看解决方案,可翻页到最後面

提交无法登陆,打开F12调试工具查看ajax返回信息:403 CSRF cookie not set.
这里写图片描述

网上给出的大体是3种解决方案

  • 禁用django的crfs中间件
    这个方法一劳永逸,但是不太安全,而且我在本地(ubuntu+Python 2.7.12+django1.11.2)上面测试可用,但是在服务器上(Centos6.5+Python 2.6.6+Django1.6)上面禁用不生效,不知道是不是我姿势不对,而且感觉全局禁用不太安全。
    settings.py
MIDDLEWARE = [
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    #'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
  • 在template文件的表单中加入{% csrf_token %}
    这个方法应该是最安全的,但是因为我是一开始就设计的前后端页面,用ajax调用页面,如果现在重新写有点麻烦
  • 创建一个忽略指定路由的csrf检测
    在settings.py目录下创建一个functions.py的文件
import re
class IgnorecsrfMiddleware(object):
    def process_request(self, request, **karg):
        if re.match(r'^/api/login$', request.path):
            request.csrf_processing_done = True
            return None

然后在settings.py中加入这个中间件

MIDDLEWARE = [
    'mysites.functions.IgnorecsrfMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

但是我测试发现报错:TypeError: object() takes no parameters。
解决思路:
类IgnorecsrfMiddleware的父类是object,它提示 object() takes no parameters。意思是object__init__ 没有参数,总的来说不能直接使用object,那么我们可以重写__init__,但是这样比较麻烦,而且可能出现其他错误,那我们来看看其他中间件是怎么定义的

from django.utils.deprecation import MiddlewareMixin
class CsrfViewMiddleware(MiddlewareMixin):
    # more code...

class XFrameOptionsMiddleware(MiddlewareMixin):
    # more code...

我们可以看到,大都是使用Django的MiddlewareMixin作为父类,那么我们也尝试一下直接将MiddlewareMixin作为我自定义中间件的父类,结果当然是成功了啊。
下面贴上代码:
settings.py

#more code
MIDDLEWARE = [
    'OpsMS.functions.IgnorecsrfMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
#more code

functions.py

import re
from django.utils.deprecation import MiddlewareMixin
class IgnorecsrfMiddleware(MiddlewareMixin):
    def process_request(self, request, **karg):
        if re.match(r'^/api/login$', request.path):
            request.csrf_processing_done = True
            return None

如果你有多个url需要绕过检测,可以在定义一个列表,然后用for循环遍历,或者通过正则来匹配(如:需要绕过csrf的,统一用 /api/IgnoreCsrf/xxxx 这种格式)

另一个比较有效的方法

更新:
其实上面的方法都不能解决我的CRSF的问题,后来发现了一个临时解决crsf问题的方法:
在每个有post的地方加入一个装饰器就可以解决了:
@csrf_exempt

virnet
关注
专栏目录
Django 发生403 错误的原因
u013177568的专栏
03-16 1451
处理过程 1、按提示及google结果修改setting.py,在MIDDLEWARE_CLASSES增加django.middleware.csrf.CsrfResponseMiddleware。结果依然报错。 2、继续修改setting.py,注释掉django.middleware.csrf.CsrfViewMiddleware及django.middlew
python在服务器上运行慢_一次Django响应超慢的解决过程
weixin_39932344的博客
12-03 808
在本地windows机器开发的Django项目运行正常,放到服务器上后响应超慢,花了一整个工作日没找到原因(非常绝望),又花了一整个周末才找到原因和临时解决办法,如果你的项目超慢可以参考一下解决思路。排查过程:1.怀疑是Python环境问题,到服务器上各种虚拟环境版本进行尝试,无果。2.因为用了mysql数据库,开始用pymysql包连接改动了一些参数,担心是驱动问题导致数据库查的慢,更换mysq...
Django解决Ajax中post提交数据403的代码
09-15
Django中使用ajax post向后台传送数据时403 Forbidden (CSRF token missing or incorrect.):的解决办法
Django的POST请求报403,及四种解决方法
最新发布
11-27 1344
djangocsrf安全工作顺序是:先从后台获取csrf_token 并发送给前端,然后前端在进行form表单提交时,把带有名为csrfmiddlewaretoken,值为 csrf_token 的字段一起发送给后端进行校验。Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传 csrf字段,导致校验失败,报403错误。但是本人不使用MTV模式进行开发,只使用 Restful模式,所以对于Restfu模式开发的,使用第四种解决方法。优点:完成了 csrf 安全校验。
[原]Django 403错误:CSRF verific…
PandaraWen 宝盒
11-05 434
先说明,我的django版本为1.4 解决方法,一共三步,在debug错误信息里面已经指出: 1.使用requestcontext from django.template import RequestContext … … return render_to_response('my_template.html',                               my_data_di
django在提交表单时403错误解决方法
liangpz521的技术资料库
10-23 4676
一次Django做项目,遇到了很多问题。 今天遇到的问题是Django在处理post请求时多次出现403错误,我弄了好久才把问题解决。 我先描述一下问题出现的环境:我用Django写了一个web服务端,姑且称它为API吧。我在实际测试中发现,通过get方式可以从API中获得数据,但是post方式却无法获取数据,客户端显示服务器端出现403错误。 我找不出什么原因,只好新建了一个表单来测试
python的django框架在ajax请求的时候老是返回403
yang420097009的博客
11-30 668
1.最近在用python的django框架开发一个web应用,使用ajax请求。 <script src="http://ajax.aspnetcdn.com/ajax/jQuery/jquery-1.8.0.js"></script> <script type="text/javascript"> $(function () { $...
一次django内存异常排查及解决方法
09-16
在本文中,我们将深入探讨如何排查和解决Django框架中的内存异常问题。Django作为Python的主流Web开发框架,其高效稳定的特点深受开发者喜爱。然而,由于编程错误或设计不当,有时会出现内存异常,比如内存占用过高...
一次Django响应超慢的解决过程
12-16
在本文中,我们探讨了一位开发者遇到的Django项目在服务器上响应超慢的问题及其解决过程。该问题的出现使得项目在本地Windows环境下运行正常,但在服务器上却出现了明显的性能下降。以下是一些关键的知识点: 1. **...
django csrf 403
z752964360的专栏
02-23 707
在表单中加入了{% csrf_token %},还是报403,最后由张丹同学发现是因为表单里面有 enctype="text/plain"> enctype 是罪魁祸首 enctype 属性规定在发送到服务器之前应该如何对表单数据进行编码。默认地,表单数据会编码为 "application/x-www-form-urlencoded"。就是说,在发送到服务器之前,所有字符都会进行编码(空格转
django 403问题
weixin_30780221的博客
06-07 297
C:\Users\x\pyp1>python manage.py runserverPerforming system checks... System check identified no issues (0 silenced).June 07, 2018 - 22:06:45Django version 2.0.6, using settings 'pyp1.setting...
Django写登录页面报403
qq_39009661的博客
04-24 218
Error msg: Solution: 在html中加{% csrf_token %} 网上说还要加这个在setting里面 可是我这里本身就存在了 'django.middleware.csrf.CsrfViewMiddleware', 别人这样已经可以了 , 不知道为什么我这样写完还是没生效 又在view.py里面的login.py加@csrf_exempt ,上来就写会标红,按照提示点击下install就可以了 ...
django发送Ajax请求数据返回403
HHYZBC的博客
05-27 1418
django中,使用Ajax直接发送数据返回403原因是django自带了一个防止跨站请求伪的功能,使用表单发送数据时在表单下面使用csrf_token标签即可,而使用Ajax发送post请求时,csrf_token标签是不会起作用的。其解决方法是:在处理改请求的函数前面加上叫做csrf_exempt的装饰器,作用是该url所发送的post请求不再防止跨站请求伪。 @csrf_exempt def task_ajax(request): print(request.POST) data
Django项目部署Nginx后静态文件报403 Forbidden状态码
m0_74139794的博客
11-05 725
Django项目部署Nginx后静态文件报403 Forbidden状态码
Django 请求与相应实例及解决表单返回403问题方法
张某文_Lambda的博客
09-12 569
简单制作一个用户登陆界面,并解决表单返回403问题。
Django解决403 forbidden报错
肥仔的博客
02-24 1353
Django项目中settings.py中MIDDLEWARE中的'django.middleware.csrf.CsrfViewMiddleware'注释掉就行
Django登陆页面报403禁止访问错误的原因及解决办法
echo666的博客
08-06 1932
如图所示,即使输入正确的用户名和密码依旧会报403错误 这是因为Django默认加了csrf令牌验证机制,这就需要我们在要提交的表单中添加如下一行代码 如果确实不想加上{% csrf_token %}这行代码,那么就在视图函数上加上@csrf_exempt 的魔法方法 ...
django关于csrf防止跨站的ajax请求403处理
wjy397的专栏
10-12 3504
django配置文件通过中间件开启CSRF(Cross-site request forgery跨站请求伪造) 默认开启 参考官方文档django官方文档 正常请求 1.需要在views结尾传递context_instance=RequestContext(request) 2.然后在模板的form标签内添加{% csrf_token %} 异步请求 第一种
django post出现403解决办法 据说,从django1.x开始,加入了CSRF保护。
WY00703的专栏
04-16 2014
django post出现403解决办法 据说,从django1.x开始,加入了CSRF保护。 CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值