CSRF验证报错:WARNING Forbidden (CSRF cookie not set.): /

最新推荐文章于 2024-03-09 12:11:01 发布
最新推荐文章于 2024-03-09 12:11:01 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 前端 文章标签: csrf 前端 djiango python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tina224243/article/details/131576473
版权

一、发现问题:
日志中每隔10分钟会出现一次’WARNING Forbidden (CSRF cookie not set.): /'报错。

#setting中设置日志格式如下:
logging.basicConfig(level=logging.INFO,
                    format='%(asctime)s %(pathname)s %(filename)s[line:%(lineno)d] %(levelname)s %(message)s',
                    datefmt='%Y-%m-%d %H:%M:%S',
                    filename='./serverlog2023.log',
                    filemode='a'
                    )

#serverlog2023.log中提示:
2023-05-05 15:14:53 C:\Users\Administrator\AppData\Local\Programs\Python\Python37\lib\site-packages\django\middleware\csrf.py[line:160] WARNING Forbidden (CSRF cookie not set.): /

根据WARNING 提示找到csrf.py的160行, ‘Forbidden (%s): %s’, reason, request.path,,发现request.path打印为‘/’,并没有函数路径,无法定位到是哪个函数请求缺少csrf验证。

 def _reject(self, request, reason):
        logger.warning(
            'Forbidden (%s): %s', reason, request.path,
            extra={
                'status_code': 403,
                'request': request,
            }
        )
        return _get_failure_view()(request, reason=reason)

二、尝试操作:
路径为空,猜测是主程序的请求问题,按照网上的方法,把view.py中所有含“request.method == ‘POST’:”的函数前都加上@csrf_exempt,前端html中所有含method="post"的form标签都加上 {% csrf_token %},仍然报错。

三、解决方案:
根据路径"/",在url.py中找到url(r’^$', lrsupport.views.home, name=‘home’),对应函数是home(),加上@csrf_exempt,停止WARNING 。

@csrf_exempt   
def home(request):
    c = csrf(request)
    return render_to_response('home.html', context=c)

四、原因解析:
在Django中,csrf(request)函数用于生成和验证CSRF令牌。CSRF(Cross-Site Request Forgery)是一种攻击方式,攻击者通过伪造用户的请求来执行恶意操作。

在视图函数中,可以使用csrf(request)函数来验证CSRF令牌。例如:

from django.shortcuts import render
from django.views.decorators.csrf import csrf_protect

@csrf_protect
def my_view(request):
    if request.method == 'POST':
        # 验证CSRF令牌
        c = csrf(request)
        if not c:
            # CSRF验证失败,处理逻辑
            return render(request, 'csrf_error.html')
        else:
            # CSRF验证成功,处理逻辑
            return render(request, 'success.html')
    else:
        # GET请求处理逻辑
        return render(request, 'form.html')

在上述示例中,@csrf_protect装饰器用于开启CSRF保护。当请求为POST方法时,会调用csrf(request)函数来验证CSRF令牌。如果验证失败,则返回一个错误页面;如果验证成功,则执行相应的处理逻辑。

需要注意的是,为了使CSRF保护生效,你需要在HTML表单中添加CSRF令牌。可以使用Django模板中的{% csrf_token %}标签来生成CSRF令牌。例如:

<form method="post" action="/my_view/">
    {% csrf_token %}
    <!-- 其他表单字段 -->
    <input type="submit" value="提交">
</form>

在上述示例中,{% csrf_token %}标签会生成一个隐藏的input字段,其中包含了CSRF令牌。当表单提交时,CSRF令牌会被包含在请求中,从而进行验证。

通过以上步骤,你可以在Django中进行CSRF保护,并使用csrf(request)函数来验证CSRF令牌。
原来需要验证的不是“request.method == ‘POST’:”请求,而是csrf(request)这一句。

fuyou_h
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF cookie not set
游海东的技术专栏
08-11 4811
1、误描述 2、误原因 由于django框架的settings.py配置了中间件,为了防止跨站请求伪造,form表单POST方式会导致出现 """ Django settings for amnd project. Generated by 'django-admin startproject' using Django 2.2.7. For more information on this file, see https://docs.djangoproject.com...
解决Django提交表单:CSRF token missing or incorrect的问题
12-20
1. **确认中间件配置**:确保在项目的`settings.py`文件中,`MIDDLEWARE`列表中包含了`django.middleware.csrf.CsrfViewMiddleware`。这个中间件负责处理CSRF保护。 2. **添加CSRF令牌到表单**:在每一个POST表单中...
Django项目学习之CSRF cookie not set.
weixin_43129747的博客
03-16 3080
当我们写好某个路由,需要利用post请求发送ajax到后台的时候,会发现,出如下警告。 然后浏览器会有如下误: 这是因为在post请求时,我们没有加CsrfToken字段,而在Django项目中,这字段相当于提交数据的令牌,是必须的。如果在开发阶段可以直接把它注释掉,这样就不会。 如果项目完成之后,需要开启这个中间件,又该如何解决的问题呢。 此时又到了我们紧张刺激的看源码时候了。...
Forbidden (CSRF cookie not set.): “POST /app/uploadcsv/ HTTP/1.1“ 403 2870 403解决
最新发布
laosao_66的博客
03-09 1348
如果你删除了这个中间件,那么你的应用将不再具有 CSRF 保护,这会使你的应用更容易受到 CSRF 攻击。CSRF 保护是通过在客户端的 Cookie 中存储 CSRF 令牌来实现的,如果浏览器阻止了这些 Cookie,那么服务器就无法验证请求是否合法。另外,你可能需要在你的代码中实现其他方式的 CSRF 保护,例如使用 AJAX 请求时在请求头中添加 CSRF 令牌。另外,还有一种可能性是在其他地方手动应用了 CSRF 保护,例如在某些装饰器中或者在其他中间件中。装饰器来禁用 CSRF 保护。
python---CSRF cookie not set.
tqg0325的专栏
03-01 1020
WARNING log 228 Forbidden (CSRF cookie not set.): /user/login/ WARNING basehttp 154 "POST /user/login/ HTTP/1.1" 403 2840 post提交需携带token问题三种解决方法 第一种: 在html文件form表单中添加{% csrf_token %} <for...
Forbidden (CSRF cookie not set.) ajax post
zy4321234zx的博客
04-15 1017
Forbidden CSRF cookie not set. ajax post 解决 由于Django对提交的POST表单做安全性验证,而ajax提交的一般只有数据,所以 禁用CSRF校验(全局禁用 或 局部禁用) 在ajax提交的表单中添加上CSRF校验信息 先使用 {% csrf_token %} 生成csrf信息 <header class="am-topbar" style="...
[Django]post请求Forbidden (CSRF cookie not set.):
THMAIL的博客
01-05 2089
WARNING log 228 Forbidden (CSRF cookie not set.): /user/login/ WARNING basehttp 154 "POST /user/login/ HTTP/1.1" 403 2840 post提交需携带token问题三种解决方法 解决: 在html文件form表单中添加{% csrf_token %} <form...
CSRF(英语:Cross-site request forgery)浅析.md
01-26
CSRF(英语:Cross-site request forgery)浅析.md
next-csrf:Next.js的CSRF缓解
05-14
// file: lib/csrf.js import { nextCsrf } from "next-csrf" ; const options = { secret : process . env . CSRF_SECRET // Long, randomly-generated, unique, and unpredictable value } export const { csrf ...
csrf-filter:用于处理 csrf 令牌的过滤器
06-18
关于跨站点请求伪造 (csrf) - 是一种对网站的恶意利用,由此从网站信任的用户传输未经授权的命令。 有几种类型的如何防止此类攻击: 检查 http。 使用令牌代码要求csrf-filter 使用令牌方法。 它会自动处理此类令牌...
八阿哥纪事【四】
一只快乐的野指针D的博客
10-17 163
1.浏览器控制台403误,pycharmForbidden (CSRF cookie not set.): /login.html 解决方法:找到setting.py文件中的这一行,将其注释掉。 2.:AttributeError: 'QuerySet' object has no attribute 'uid' 原因:使用filter()方法从数据库得到的是一个QuerySet,不是User对象,没有uid属性 user = models.User.objects.
python3 web接口调用——Forbidden (CSRF cookie not set.): xxx
当白的技术小窝 ( git : https://github.com/canwhite )
12-11 8675
1.问题:一般注意会csrf误(csrf自己了解) 页面访问时 Forbidden (CSRF cookie not set.): xxx 解决方法: 修改settings.py文件,注释掉 django.middleware.csrf.CsrfViewMiddleware', 2.python3调用过程:(
接口测试时保存Forbidden (CSRF cookie not set.)
环游的博客
02-22 1万+
对使用django框架开发的web网页作接口测试时,使用POST方法请求数据时 出现Forbidden (CSRF cookie not set.): **** 解决办法:项目文件中的setting.py中将csrf语句注释掉 ...
django出现 CSRF cookie not set
微电子学与固体电子学-俞驰
02-01 1489
解决方案: 问题:页面访问时 Forbidden (CSRF cookie not set.): xxx 解决方法: 修改settings.py文件,注释掉 django.middleware.csrf.CsrfViewMiddleware',
DjangoCSRF cookie not set
shiGXW的博客
02-15 441
解决办法: 将项目setting下的’django.middleware.csrf.CsrfViewMiddleware’注释 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware',
django误 - Reason given for failure: CSRF cookie not set.
heitdf
02-20 1万+
今天练习django的form的提交。当提交表单的时候,出现了 Forbidden (403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF cookie not set. In general, this can
django/DRFpost 请求时Forbidden (CSRF cookie not set.)
qq_24822271的博客
01-10 638
这是Django对表单post请求做的安全性验证,修改settings.py文件,注释掉 django.middleware.csrf.CsrfViewMiddleware’
Django提交表单时遇到403误:CSRF verification failed
热门推荐
cauwu的专栏
10-30 2万+
在学习Django框架提交表单时,遇到了403误,CSRF verification failed. Request aborted. Reason given for failure: CSRF cookie not set
django中遇到误:Forbidden CSRF cookie not set
jixn的博客
12-09 1671
CSRF cookie not set 提示就是说 未设置CSRF cookie CSRF 是啥? 表示django全局发送post请求均需要字符串验证 功能: 防止跨站请求伪造的功能 工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器 端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。 访问流程:客户端-》URL路由系统 - 》 CSRF -》视图函数 我这里要写的是一个内部使用的api接口,也不大会
djangoForbidden (CSRF cookie not set.): /login/register
06-12
这个误是由于Django的CSRF保护机制引起的,它需要确保每个POST请求都具有与会话关联的CSRF令牌。 在Django中,每个POST请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。如果请求中不包含这个令牌,Django会抛出`Forbidden (CSRF cookie not set.)`误。 为了解决这个问题,您需要在POST请求的表单中包含CSRF令牌。例如,在您的HTML表单中,可以添加以下代码: ```html {% csrf_token %} ``` 这将在表单中添加一个隐藏字段,其中包含与当前会话关联的CSRF令牌。当用户提交表单时,这个令牌将与请求一起发送,以通过CSRF保护。 如果您使用的是AJAX请求,可以将CSRF令牌作为请求头发送。例如,在JavaScript中,可以添加以下代码: ```javascript function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = cookies[i].trim(); if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrfToken = getCookie('csrftoken'); $.ajax({ ... headers: { 'X-CSRFToken': csrfToken }, ... }); ``` 这将在请求头中添加一个名为`X-CSRFToken`的头,其中包含与当前会话关联的CSRF令牌。这样,您的AJAX请求将通过CSRF保护。 请注意,如果您使用的是第三方库或框架,例如Django REST framework或jQuery,它们可能会自动处理CSRF令牌。在这种情况下,您不需要手动添加CSRF令牌。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值