Forbidden (CSRF cookie not set.): “POST /app/uploadcsv/ HTTP/1.1“ 403 2870 403报错解决

最新推荐文章于 2024-06-09 19:25:06 发布
最新推荐文章于 2024-06-09 19:25:06 发布
阅读量1.4k 收藏 6
点赞数 27
分类专栏: 疑难杂症 Django 项目开发 文章标签: csrf http 前端 缓存 django 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laosao_66/article/details/136580418
版权
文章讲述了在Django中遇到CSRF错误403的原因,涉及CSRF保护机制、如何在前端添加CSRF令牌、禁用或调整CSRF保护设置,以及检查MIDDLEWARE配置。提供了解决此类问题的详细步骤。
摘要由CSDN通过智能技术生成

Forbidden (CSRF cookie not set.): /app/uploadcsv/
[09/Mar/2024 11:51:52] "POST /app/uploadcsv/ HTTP/1.1" 403 2870

这个错误通常是由于 CSRF(Cross-Site Request Forgery)保护机制引起的。Django 默认开启了 CSRF 保护,以防止跨站请求伪造攻击。在 POST 请求中,Django 期望包含一个名为 csrfmiddlewaretoken 的 CSRF 令牌,但你的请求中未包含该令牌,导致服务器返回 403 错误。 

 

为了解决这个问题,可以使用以下方法:

1.在前端添加 CSRF 令牌:在前端代码中,可以使用 Django 提供的模板标签 {% csrf_token %} 来生成 CSRF 令牌,并将其包含在 POST 请求中。示例如下:

<form method="post" action="/app/uploadcsv/">
  {% csrf_token %}
  <!-- 其他表单字段 -->
  <button type="submit">提交</button>
</form>

另外,还有一种可能性是在其他地方手动应用了 CSRF 保护,例如在某些装饰器中或者在其他中间件中。你可以检查一下整个项目的代码,确认是否有其他地方应用了 CSRF 保护。

还有,确保你的浏览器中没有被禁用或者阻止了 Cookie。CSRF 保护是通过在客户端的 Cookie 中存储 CSRF 令牌来实现的,如果浏览器阻止了这些 Cookie,那么服务器就无法验证请求是否合法。

2.禁用 CSRF 保护(不推荐)(如果你已经禁用了CSRF保护仍然报错的话,请看后面):如果你确定你的应用不需要 CSRF 保护,可以在视图函数中使用 @csrf_exempt 装饰器来禁用 CSRF 保护。但这不是推荐的做法,因为会增加安全风险 

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def upload_csv(request):
    # 视图函数代码...

 

3.通过 AJAX 请求获取 CSRF 令牌:如果你使用的是 JavaScript 进行 AJAX 请求,可以通过获取 CSRF 令牌并在请求头中包含它来解决问题。示例如下: 

// 获取 CSRF 令牌
const csrftoken = document.querySelector('[name=csrfmiddlewaretoken]').value;

// 发送 AJAX 请求时在请求头中包含 CSRF 令牌
fetch('/app/uploadcsv/', {
  method: 'POST',
  headers: {
    'X-CSRFToken': csrftoken
  },
  // 其他请求参数...
})
.then(response => {
  // 处理响应...
});

 

 4.如果你已经使用了 @csrf_exempt 装饰器,并且仍然遇到 CSRF 错误,那么问题可能不在于 CSRF 保护。错误可能是由其他原因引起的。

有一种可能性是,即使你在视图函数上使用了 @csrf_exempt 装饰器,Django 仍然在全局中启用了 CSRF 中间件。这可能是由于在 MIDDLEWARE 设置中包含了 django.middleware.csrf.CsrfViewMiddleware 导致的。你可以尝试将它从 MIDDLEWARE 设置中移除或者将其移到 MIDDLEWARE 设置的底部,以确保在视图函数调用之前不会执行 CSRF 检查。

你可以打开项目中的 settings.py 文件,并检查 MIDDLEWARE 设置。确保 django.middleware.csrf.CsrfViewMiddleware 中间件的位置。通常,这个中间件应该在列表中的较前位置,但不要放在第一个位置。例如:

MIDDLEWARE = [
    # 其他中间件...
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',  # 可以把这个注释掉
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

如果 django.middleware.csrf.CsrfViewMiddleware 中间件已经在 MIDDLEWARE 设置中了,你可以考虑将它移到列表的底部,这样可以确保在视图函数调用之前不会执行 CSRF 检查。

如果在 MIDDLEWARE 设置中没有找到 django.middleware.csrf.CsrfViewMiddleware 中间件,那么可能是在其他地方手动应用了 CSRF 保护,比如在某些视图函数的装饰器中。在这种情况下,你需要检查整个项目的代码,确认是否有其他地方应用了 CSRF 保护。

5.如果你只是在练习,或者做一些简单项目,可以删去上面提到的 django.middleware.csrf.CsrfViewMiddleware 中间件,这样就不会报403错误了,但可能带来安全风险。

这个中间件的作用是为每个包含表单的页面添加 CSRF 令牌,并在提交表单时验证这些令牌,以防止跨站请求伪造 (CSRF) 攻击。如果你删除了这个中间件,那么你的应用将不再具有 CSRF 保护,这会使你的应用更容易受到 CSRF 攻击。

如果你决定删除 django.middleware.csrf.CsrfViewMiddleware 中间件,请确保你的应用没有任何表单提交或其他需要 CSRF 保护的功能。另外,你可能需要在你的代码中实现其他方式的 CSRF 保护,例如使用 AJAX 请求时在请求头中添加 CSRF 令牌。

最好的做法是只在确保没有表单提交或其他需要 CSRF 保护的功能时才删除这个中间件。如果你的应用中仍然存在需要保护的功能,那么最好保留这个中间件,以确保应用的安全性。

 

阿波拉
关注
专栏目录
Python常用组件、命令大总结(持续更新)
LDC,公众号【轻松学编程】
03-12 1万+
Python后端开发常用组件、命令(干货) 持续更新中… 1、生成6位数字随机验证码 import random import string def num_code(length=6): """ 生成长度为length的数字随机验证码 :param length: 验证码长度 :return: 验证码 """ return ''.jo.....................
Java Web 应用的安全攻防之 CSRF 漏洞分析
程序员光剑
10-09 794
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞。CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
Forbidden (CSRF cookie not set.)
fei321321的博客
08-26 5352
使用django做接口,调用接口: 报错一: Forbidden (CSRF cookie not set.): /code_api/xzcf_jiaotongbu/ 解决: 修改settings.py文件,注释掉 django.middleware.csrf.CsrfViewMiddleware’ MIDDLEWARE_CLASSES = [ ‘django.middleware.securit...
CSRF cookie not set
游海东的技术专栏
08-11 4902
1、错误描述 2、错误原因 由于django框架的settings.py配置了中间件,为了防止跨站请求伪造,form表单POST方式会导致出现报错 """ Django settings for amnd project. Generated by 'django-admin startproject' using Django 2.2.7. For more information on this file, see https://docs.djangoproject.com...
django报错 Forbidden (CSRF cookie not set.)
qq_64400532的博客
02-22 1312
这个错误是由于 DjangoCSRF(Cross-Site Request Forgery)保护机制导致的。CSRF 是一种攻击方式,通过伪装用户的请求来执行未经授权的操作。为了防止这种攻击,Django 默认情况下会要求在进行 POST 请求时携带 CSRF 令牌。
CSRF验证报错:WARNING Forbidden (CSRF cookie not set.): /
fuyou@的博客
07-06 1692
根据路径"/",在url.py中找到url(r’^$', lrsupport.views.home, name=‘home’),对应函数是home(),加上@csrf_exempt,停止WARNING。
django】Forbidden (CSRF cookie not set.)
Watson的博客
09-08 1058
表示django全局发送post请求均需要字符串验证防止跨站请求伪造的功能客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。客户端-》URL路由系统 - 》 CSRF -》视图函数我这里要写的是一个内部使用的api接口,也不大会有 跨站请求伪造所以这里提供两个不是很推荐,但是非常简单的方式解决这个问题既然不需要 CSRF 这里我们就把CSRF检测关掉即可。
django中出现Forbidden (CSRF cookie not set.)
g1655的博客
06-10 1208
Forbidden (CSRF cookie not set.): /…/ 运行Django时出现了如下错误 前端给后端上传文件时出错 解决办法: 1.注释掉settings.py中的这行代码 'django.middleware.csrf.CsrfViewMiddleware' 2.加入@csrf_exempt 在views.py上导入 from django.views.decorators.csrf import csrf_exempt 并在def文件前加上 @csrf_exempt .
JavaEE - Tomcat和HTTP协议
旧时言的博客
06-06 1万+
HTTP (全称为 “超文本传输协议”) 是一种应用非常广泛的 应用层协议.HTTP 诞生与1991年. 目前已经发展为最主流使用的一种应用层协议.最新的 HTTP 3 版本也正在完善中, 目前 Google / Facebook 等公司的产品已经支持了.HTTP 往往是基于传输层的 TCP 协议实现的. (HTTP1.0, HTTP1.1, HTTP2.0 均为TCP, HTTP3 基于 UDP实现)目前我们主要使用的还是 HTTP1.1HTTP2.0 . 当前课堂上讨论的 HTTP1.1
Django 024】中间件Middleware(三):Django自带csrf中间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 1067
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF中间件就是其中之一。那么究竟什么是CSRF,其中间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django中的...
HTML5面试题
热门推荐
YaToue
04-10 1万+
HTML5面试题 一、 Doctype的作用? 严格模式和混杂模式的区分,以及如何触发这2种模式? 声明位于文档中的最前面,处于 标签之前。告知浏览器的解析器,用什么文档类型 规范来解析这个文档。 DOCTYPE不存在或格式不正确会导致文档以混杂模式呈现。 严格模式就是浏览器根据web标准去解析页面,是一种要求严格的DTD,不允许使用任何表现层的语法, 混杂模式是一种向后兼容的解析方法。 触发...
接口测试时保存Forbidden (CSRF cookie not set.)
qq_36935391的博客
04-18 1058
对使用django框架开发的web网页作接口测试时,使用POST方法请求数据时 出现报错: Forbidden (CSRFcookie not set.): **** 解决办法:项目文件中的setting.py中将csrf语句注释掉
Django Forbidden (CSRF cookie not set.)解决办法
最新发布
人生苦短,何妨一试
06-09 585
这个中间件是为了防止跨站请求伪造的,平时用网页表单请求时,post提交是没有问题的,但是用api调用时就会被禁止,为了能使用接口调用post请求,就只能停用该插件了。
接口测试时报错Forbidden (CSRF cookie not set.)
xbean1028的博客
11-30 5440
对使用django框架开发的web网页作接口测试时,使用POST方法请求数据时 出现报错: Forbidden (CSRF cookie not set.): **** 我的:(Forbidden (CSRF cookie not set.): /apis/ [30/Nov/2019 22:54:18] “POST /apis/ HTTP/1.1403 2837) 解决办法:项目文件中的set...
Django测试HTML表单实现登录过程中遇到错误提示:Forbidden (CSRF cookie not set.):
weixin_43498642的博客
08-22 517
Django测试HTML表单实现登录过程中遇到错误提示:Forbidden (CSRF cookie not set.):
解决Django运行POST请求时报错:Forbidden (CSRF cookie not set.)
daxiangaifashi的博客
01-17 1150
解决办法:项目文件中的setting.py中的MIDDLEWARE将django.middleware.csrf.CsrfViewMiddleware语句注释掉 再运行就可以成功了。
Forbidden (CSRF cookie not set.) ajax post
zy4321234zx的博客
04-15 1024
Forbidden CSRF cookie not set. ajax post 解决 由于Django对提交的POST表单做安全性验证,而ajax提交的一般只有数据,所以 禁用CSRF校验(全局禁用 或 局部禁用) 在ajax提交的表单中添加上CSRF校验信息 先使用 {% csrf_token %} 生成csrf信息 <header class="am-topbar" style="...
django报错Forbidden (CSRF cookie not set.): /login/register
06-12
这个错误是由于DjangoCSRF保护机制引起的,它需要确保每个POST请求都具有与会话关联的CSRF令牌。 在Django中,每个POST请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。如果请求中不包含这个令牌,Django会抛出`Forbidden (CSRF cookie not set.)`错误。 为了解决这个问题,您需要在POST请求的表单中包含CSRF令牌。例如,在您的HTML表单中,可以添加以下代码: ```html {% csrf_token %} ``` 这将在表单中添加一个隐藏字段,其中包含与当前会话关联的CSRF令牌。当用户提交表单时,这个令牌将与请求一起发送,以通过CSRF保护。 如果您使用的是AJAX请求,可以将CSRF令牌作为请求头发送。例如,在JavaScript中,可以添加以下代码: ```javascript function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = cookies[i].trim(); if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrfToken = getCookie('csrftoken'); $.ajax({ ... headers: { 'X-CSRFToken': csrfToken }, ... }); ``` 这将在请求头中添加一个名为`X-CSRFToken`的头,其中包含与当前会话关联的CSRF令牌。这样,您的AJAX请求将通过CSRF保护。 请注意,如果您使用的是第三方库或框架,例如Django REST framework或jQuery,它们可能会自动处理CSRF令牌。在这种情况下,您不需要手动添加CSRF令牌。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值