Django 如何让ajax的POST方法带上CSRF令牌

已于 2024-02-29 20:54:28 修改
阅读量27 收藏
点赞数
分类专栏: Django Python框架 文章标签: django ajax csrf okhttp python
于 2018-05-28 12:35:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20033259/article/details/136014325
版权

问题

大家知道,在大前端领域,有一种叫做ajax的东东,即“Asynchronous Javascript And XML”(异步 JavaScript 和 XML),它被用来在不刷新页面的情况下,提交和请求数据。当没有<form>元素时,也就是如果Django服务器接收的是一个通过ajax发送过来的POST请求的话,那么将很麻烦,何也?因为只要有<form>元素就可以直接携带{% csrf_token %}令牌,但是,在没有<form>元素情况下,ajax没办法像<form>元素那样携带{% csrf_token %}令牌。那怎么办呢?好办!

方法一(用在js文件中)

在你的前端模版的JavaScript代码处,添加下面的代码:

/****************** BEGIN ******************/
// 官方提供的js文件ajax携带CSRF令牌的方法(使用jQuery库),参考官网https://docs.djangoproject.com/zh-hans/2.0/ref/csrf/

//***** 第一步:获取CSRF令牌 *****//
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

//***** 第二步:在ajax请求上设置CSRF令牌 *****//
function csrfSafeMethod(method) {
    // 这些HTTP方法不要求携带CSRF令牌。test()是js正则表达式方法,若模板匹配成功,则返回true
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});
/****************** END ******************/

上面代码的作用就是让你的ajax的POST方法带上CSRF需要的令牌,它依赖jQuery库,必须提前加载jQuery。这也是Django官方提供的解决方案,请参考。

方法二(用在HTML文件中)

简单快捷的解决办法,示例如下。

$.ajax({
    type: "POST",       // POST方法
    url: "{% url 'oper:course_add_comment' %}",     // 处理请求的url
    data: {'course_id': {{ course_id }}, 'comment': comment},
    async: true,
    cache: false,
    beforeSend: function (xhr, settings) {
        xhr.setRequestHeader("X-CSRFToken", "{{ csrf_token }}");    // 重点是这里! 注意{{ csrf_token }}必须加上引号!
    },
    success: function (data) {          // 请求成功后,视图传回的数据
        if (data.status == 'fail') {
            if (data.msg == '用户未登录') {
                alert("您还未登录,不能评论!点击右上角登录按钮进行登录。");
            } else {
                alert(data.msg)
            }

        } else if (data.status == 'success') {
            alert(data.msg);
            location.reload();         // 刷新当前页面
        }
    },
});

  至此,转载请注明出处。

本站相关链接:>>Django部署 ]

蔷薇WONG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
djangoAjax Post请求CSRF认证问题
qq_37668510的博客
07-05 741
Post请求CSRF认证问题
VUE django 跨域、csrf令牌问题
qq_41710802的博客
05-30 271
使用VUE django前后分离,跨域跟django CSRF令牌是个很头疼问题,跨域问题解决方法很多,bing一下就有很多这里先略过,主要讲一下令牌用法,取消令牌检测这里有提到。
Django中的CSRF使用及ajax请求接口时问题总结
Colinspace
11-23 1232
总结Django的常规使用CSRF的情况,以及如何在AJAX 中请求后端接口的时候,使用 CSRF
Python-djangoajax使用POST时使用csrf_token
热门推荐
云在青天水在瓶
06-13 1万+
环境:django1.6.5 python 2.6/2.7
Django中使用POST方法 使用ajax后出现403 “CSRF token missing or incorrect”
小天使faith的专栏
09-18 652
原因 Djangoajax中默认添加了token,因此需要在cookie中增加token头信息。 解决方案: JS获取token,之后在POST的对象中增加请求头 1. JS获取token令牌 方式一: function getCookie(name){ var arr,reg=new RegExp("(^| )"+name+"=([^;]*)(;|$)"); if(arr=document.cookie.match(reg)) return unescape(arr[
ajax 获得csrf,Ajax Post-Api中的CSRF令牌
weixin_28811227的博客
08-06 306
我的问题是我用Django制作了一个POST-API,我用一个按钮调用它。但每次它给CSRF令牌错误。每次post请求都返回403。我不知道我错在哪里。在我在下面写我的代码。其余代码可以在in this repo中找到。在API输入视图.py在class UserList(APIView):def post(self, request, format=None):serializer = User...
Django Ajax CSRF认证(解决Post无法使用情况)
NULL
06-14 955
CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF。是一种对网站的恶意利用。 XSS 假如A网站有XSS漏洞,访问A网站的攻击用户用发帖的方式,在标题或内容等地方植入js代码,这些代码在某些场景下会被触发执行(比如点回帖时)。 当A网站的其它用户点回帖后,js运行了,这段js按道理可以做任何事,比如将用户的cookie发到指定服务器(攻击者所有),这样攻击者就可以使用.
django ajax rest,如何使用Django REST Framework使POST简单JSON? CSRF令牌丢失或进入
weixin_33946659的博客
08-07 164
希望有人向我展示如何通过Django REST框架使用JSON发出简单的POST请求。 我在本教程的任何地方都看不到任何示例吗?这是我要发布的角色模型对象。 这是一个全新的角色,我想添加到数据库中,但出现500错误。{"name": "Manager","description": "someone who manages"}这是我在bash终端提示下的curl请求:curl -X POST -H...
Django CSRF(什么是CSRF?)\Django前后端分离csrf token获取方式
西京刀客
12-07 1573
Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。 浏览器的同源策略并不能阻止CSRF攻击。 什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。 Django CSRF django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddle
django中使用post方法时,需要增加csrftoken的例子
09-17
Django框架中,为了确保Web应用的安全性,...在使用POST请求时,无论是通过Ajax还是传统的表单提交,都需要确保正确地处理和传递CSRF令牌,以维护应用的安全性。根据具体需求,可以选择合适的方式来实现这一机制。
Djangoajax发送post请求 报403错误CSRF验证失败解决方案
09-18
综上所述,解决DjangoAjax请求CSRF验证失败的关键是确保每个Ajax请求中都携带了正确的CSRF令牌。无论是直接在请求头中添加`X-CSRFToken`,还是在请求体中添加,只要能确保Django后端可以验证到合法的CSRF令牌,就...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAXPOST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更...教你如何在AJAX请求上设置令牌
Django中的第一个自动化测试编写
慢也好,步子小也好,往前走就好~
08-30 612
编写第一个测试
Django的Form和ModeForm的作用
sheji888的专栏
08-29 834
使用Form时,你需要手动定义所有表单字段,适用于非模型数据或需要高度自定义表单的场景。使用ModelForm时,表单字段根据模型自动生成,适用于与数据库模型紧密相关的表单,可以大幅减少代码量并提高开发效率。在大多数情况下,如果你的表单数据需要直接映射到数据库模型,使用ModelForm是更合适的选择。如果表单数据与模型不直接相关,或者需要更复杂的自定义,那么使用Form可能更为合适。
Django国际化和本地化
brucexia的专栏
08-30 1857
Django框架中,国际化和本地化的目标是允许单个Web应用程序针对不同的语言和格式提供相应的内容。Django框架完全支持文本翻译、日期、时间和数字格式以及时区格式。允许开发人员在模板上指定针对本地语言进行翻译,或者格式化其应用程序的相对应部分。根据特定用户的喜好对特定用户的Web应用程序使用特定的挂钩进行本地化操作。很明显,翻译取决于目标语言,格式通常取决于目标国家,浏览器在“接受语言”Header中提供此信息。但是,时区或许并不是很容易获得。国际化:为本地化准备软件,通常由开发人员完成。
【精选】基于Django的智能水果销售系统设计与实现
程序员阿龙的博客
08-30 1460
我是程序员阿龙,专注于软件开发,拥有丰富的编程能力和实战经验。在过去的几年里,我辅导了上千名学生,帮助他们顺利完成毕业项目,同时我的技术分享也吸引了超过50W+的粉丝。我是CSDN特邀作者、博客专家、新星计划导师,并在Java领域内获得了多项荣誉,如博客之星。我的作品也被掘金、华为云、阿里云、InfoQ等多个平台推荐,成为各大平台的优质作者。 在Java技术领域和学生毕业项目实战中,我积累了深厚的知识与经验,并与高校老师、讲师及行业内的同行前辈保持着广泛的交流与合作。我的专业背景和丰富的实战经验使
12、Django Admin在列表视图页面上显示计算字段
最新发布
netandghost的博客
08-31 505
注册模型有两种方式,需要首先添加或者修改admin中的注册模型如下方式。1、在models的模型类中添加函数。
Django 后端架构开发:文件处理技术
weixin_52392194的博客
08-27 1419
⭐ Excel 数据处理与 Django 集成🔗 表格与数据管理📄 文档处理与生成🛠️ PDF 文档管理与信息提取📝 HTML 与 XML 处理🎥 多媒体处理在数据处理的过程中,Excel 文件格式是一种常见的选择。 是一个功能强大的库,用于读取和写入 Excel 文件格式,特别适用于 文件。通过 Django 的集成,可以在处理业务数据时轻松生成、修改和读取 Excel 文件。读取 Excel 文件 使用 读取 Excel 文件非常简单。下面的代码展示了如何在 Django 中读取并处理 E
Django框架AJAX使用及绕过CSRF验证实战解析
然而,如果你的Ajax请求是POST类型且需要修改数据,那么应当保留CSRF保护,并在前端传递CSRF令牌。可以通过以下方式获取并发送CSRF令牌: ```javascript $.ajax({ url: "/send_ajax/", type: "post", data: { '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值