CSRF验证报错:WARNING Forbidden (CSRF cookie not set.): /

最新推荐文章于 2024-07-30 16:49:30 发布
最新推荐文章于 2024-07-30 16:49:30 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 前端 文章标签: csrf 前端 djiango python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tina224243/article/details/131576473
版权

一、发现问题:
日志中每隔10分钟会出现一次’WARNING Forbidden (CSRF cookie not set.): /'报错。

#setting中设置日志格式如下:
logging.basicConfig(level=logging.INFO,
                    format='%(asctime)s %(pathname)s %(filename)s[line:%(lineno)d] %(levelname)s %(message)s',
                    datefmt='%Y-%m-%d %H:%M:%S',
                    filename='./serverlog2023.log',
                    filemode='a'
                    )

#serverlog2023.log中提示:
2023-05-05 15:14:53 C:\Users\Administrator\AppData\Local\Programs\Python\Python37\lib\site-packages\django\middleware\csrf.py[line:160] WARNING Forbidden (CSRF cookie not set.): /

根据WARNING 提示找到csrf.py的160行, ‘Forbidden (%s): %s’, reason, request.path,,发现request.path打印为‘/’,并没有函数路径,无法定位到是哪个函数请求缺少csrf验证。

 def _reject(self, request, reason):
        logger.warning(
            'Forbidden (%s): %s', reason, request.path,
            extra={
                'status_code': 403,
                'request': request,
            }
        )
        return _get_failure_view()(request, reason=reason)

二、尝试操作:
路径为空,猜测是主程序的请求问题,按照网上的方法,把view.py中所有含“request.method == ‘POST’:”的函数前都加上@csrf_exempt,前端html中所有含method="post"的form标签都加上 {% csrf_token %},仍然报错。

三、解决方案:
根据路径"/",在url.py中找到url(r’^$', lrsupport.views.home, name=‘home’),对应函数是home(),加上@csrf_exempt,停止WARNING 。

@csrf_exempt   
def home(request):
    c = csrf(request)
    return render_to_response('home.html', context=c)

四、原因解析:
在Django中,csrf(request)函数用于生成和验证CSRF令牌。CSRF(Cross-Site Request Forgery)是一种攻击方式,攻击者通过伪造用户的请求来执行恶意操作。

在视图函数中,可以使用csrf(request)函数来验证CSRF令牌。例如:

from django.shortcuts import render
from django.views.decorators.csrf import csrf_protect

@csrf_protect
def my_view(request):
    if request.method == 'POST':
        # 验证CSRF令牌
        c = csrf(request)
        if not c:
            # CSRF验证失败,处理逻辑
            return render(request, 'csrf_error.html')
        else:
            # CSRF验证成功,处理逻辑
            return render(request, 'success.html')
    else:
        # GET请求处理逻辑
        return render(request, 'form.html')

在上述示例中,@csrf_protect装饰器用于开启CSRF保护。当请求为POST方法时,会调用csrf(request)函数来验证CSRF令牌。如果验证失败,则返回一个错误页面;如果验证成功,则执行相应的处理逻辑。

需要注意的是,为了使CSRF保护生效,你需要在HTML表单中添加CSRF令牌。可以使用Django模板中的{% csrf_token %}标签来生成CSRF令牌。例如:

<form method="post" action="/my_view/">
    {% csrf_token %}
    <!-- 其他表单字段 -->
    <input type="submit" value="提交">
</form>

在上述示例中,{% csrf_token %}标签会生成一个隐藏的input字段,其中包含了CSRF令牌。当表单提交时,CSRF令牌会被包含在请求中,从而进行验证。

通过以上步骤,你可以在Django中进行CSRF保护,并使用csrf(request)函数来验证CSRF令牌。
原来需要验证的不是“request.method == ‘POST’:”请求,而是csrf(request)这一句。

fuyou_h
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF cookie not set
游海东的技术专栏
08-11 4817
1、错误描述 2、错误原因 由于django框架的settings.py配置了中间件,为了防止跨站请求伪造,form表单POST方式会导致出现报错 """ Django settings for amnd project. Generated by 'django-admin startproject' using Django 2.2.7. For more information on this file, see https://docs.djangoproject.com...
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
1. **确认中间件配置**:确保在项目的`settings.py`文件中,`MIDDLEWARE`列表中包含了`django.middleware.csrf.CsrfViewMiddleware`。这个中间件负责处理CSRF保护。 2. **添加CSRF令牌到表单**:在每一个POST表单中...
Forbidden (CSRF cookie not set.): “POST /app/uploadcsv/ HTTP/1.1“ 403 2870 403报错解决
laosao_66的博客
03-09 1373
如果你删除了这个中间件,那么你的应用将不再具有 CSRF 保护,这会使你的应用更容易受到 CSRF 攻击。CSRF 保护是通过在客户端的 Cookie 中存储 CSRF 令牌来实现的,如果浏览器阻止了这些 Cookie,那么服务器就无法验证请求是否合法。另外,你可能需要在你的代码中实现其他方式的 CSRF 保护,例如使用 AJAX 请求时在请求头中添加 CSRF 令牌。另外,还有一种可能性是在其他地方手动应用了 CSRF 保护,例如在某些装饰器中或者在其他中间件中。装饰器来禁用 CSRF 保护。
Django项目学习之CSRF cookie not set.报错
weixin_43129747的博客
03-16 3118
当我们写好某个路由,需要利用post请求发送ajax到后台的时候,会发现,报出如下警告。 然后浏览器会有如下错误: 这是因为在post请求时,我们没有加CsrfToken字段,而在Django项目中,这字段相当于提交数据的令牌,是必须的。如果在开发阶段可以直接把它注释掉,这样就不会报错。 如果项目完成之后,需要开启这个中间件,又该如何解决报错的问题呢。 此时又到了我们紧张刺激的看源码时候了。...
Django Forbidden (CSRF cookie not set.)解决办法
人生苦短,何妨一试
06-09 466
这个中间件是为了防止跨站请求伪造的,平时用网页表单请求时,post提交是没有问题的,但是用api调用时就会被禁止,为了能使用接口调用post请求,就只能停用该插件了。
django报错 Forbidden (CSRF cookie not set.)
qq_64400532的博客
02-22 1022
这个错误是由于 Django 的 CSRF(Cross-Site Request Forgery)保护机制导致的。CSRF 是一种攻击方式,通过伪装用户的请求来执行未经授权的操作。为了防止这种攻击,Django 默认情况下会要求在进行 POST 请求时携带 CSRF 令牌。
已解决:Django运行POST请求时报错:Forbidden (CSRF cookie not set.)
daxiangaifashi的博客
01-17 1126
解决办法:项目文件中的setting.py中的MIDDLEWARE将django.middleware.csrf.CsrfViewMiddleware语句注释掉 再运行就可以成功了。
django中出现Forbidden (CSRF cookie not set.)
g1655的博客
06-10 1174
Forbidden (CSRF cookie not set.): /…/ 运行Django时出现了如下错误 前端给后端上传文件时出错 解决办法: 1.注释掉settings.py中的这行代码 'django.middleware.csrf.CsrfViewMiddleware' 2.加入@csrf_exempt 在views.py上导入 from django.views.decorators.csrf import csrf_exempt 并在def文件前加上 @csrf_exempt .
python csrf token cookie_python - django csrf token error - Forbidden (CSRF cookie not set.)
weixin_36407256的博客
01-14 337
I have enabled csrf token in django form and getting below error if i try to upload the file. Please help me to fix it.Forbidden (CSRF cookie not set.): /uploadmy html form render like below.Drop file...
练习django 访问url报错Forbidden (CSRF cookie not set.)
weixin_30454481的博客
05-30 708
解决方法是把setting中csrf那行注释掉: MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddl...
Django测试HTML表单实现登录过程中遇到错误提示:Forbidden (CSRF cookie not set.):
weixin_43498642的博客
08-22 471
Django测试HTML表单实现登录过程中遇到错误提示:Forbidden (CSRF cookie not set.):
CSRF(英语:Cross-site request forgery)浅析.md
01-26
CSRF(英语:Cross-site request forgery)浅析.md
next-csrf:Next.js的CSRF缓解
05-14
// file: lib/csrf.js import { nextCsrf } from "next-csrf" ; const options = { secret : process . env . CSRF_SECRET // Long, randomly-generated, unique, and unpredictable value } export const { csrf ...
csrf-filter:用于处理 csrf 令牌的过滤器
06-18
关于跨站点请求伪造 (csrf) - 是一种对网站的恶意利用,由此从网站信任的用户传输未经授权的命令。 有几种类型的如何防止此类攻击: 检查 http。 使用令牌代码要求csrf-filter 使用令牌方法。 它会自动处理此类令牌...
pikachu 之CSRF(跨站请求伪造)get和post型
LIU6636LIU的博客
07-23 659
pikachu 之CSRF(跨站请求伪造)get和post型
【分享】前端程序员-技术网站推荐
一位前行者的博客
07-30 424
对于前端开发人员来说,以下是一些推荐的技术网站,这些网站提供了丰富的资源和知识,可以帮助你提升前端开发技能:收集一些 、、 的网站 vite 官方中文文档 element-plus 官方中文文档 pinia 官方中文文档 vue-router 官方中文文档 Tailwind CSS 官方文档 vitest 官方中文文档 es6 中文文档 axios 官方中文文档 vxetable 官方中文文档 lodash 中文文档 echarts 官方中文文档 animat
js、ts、argular、nodejs学习心得
最新发布
07-30 212
工作中需要前端argular开发桌面程序,后端用nodejs开发服务器,商用软件架构。
苍穹外卖浏览器前端界面修改
程序员象漂亮的博客
07-25 276
客户原始方案是期望做一个Spring Boot + Vue的饿了么系统,但时间上太仓促,所以建议选择开源的苍穹外码目作为作业提交。客户接受了建议的方案后,期望对前端页面提出了一些个性化的定制修改。
django报错Forbidden (CSRF cookie not set.): /login/register
06-12
这个错误是由于Django的CSRF保护机制引起的,它需要确保每个POST请求都具有与会话关联的CSRF令牌。 在Django中,每个POST请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。如果请求中不包含这个令牌,Django会抛出`Forbidden (CSRF cookie not set.)`错误。 为了解决这个问题,您需要在POST请求的表单中包含CSRF令牌。例如,在您的HTML表单中,可以添加以下代码: ```html {% csrf_token %} ``` 这将在表单中添加一个隐藏字段,其中包含与当前会话关联的CSRF令牌。当用户提交表单时,这个令牌将与请求一起发送,以通过CSRF保护。 如果您使用的是AJAX请求,可以将CSRF令牌作为请求头发送。例如,在JavaScript中,可以添加以下代码: ```javascript function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = cookies[i].trim(); if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrfToken = getCookie('csrftoken'); $.ajax({ ... headers: { 'X-CSRFToken': csrfToken }, ... }); ``` 这将在请求头中添加一个名为`X-CSRFToken`的头,其中包含与当前会话关联的CSRF令牌。这样,您的AJAX请求将通过CSRF保护。 请注意,如果您使用的是第三方库或框架,例如Django REST framework或jQuery,它们可能会自动处理CSRF令牌。在这种情况下,您不需要手动添加CSRF令牌。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值