Django API Post 403 FORBIDDEN

最新推荐文章于 2024-11-01 09:13:20 发布
最新推荐文章于 2024-11-01 09:13:20 发布
阅读量2.3k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: ----------------------python 文章标签: django csrf api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sevensevensevenday/article/details/78162087
本文介绍了在使用Django框架时遇到的CSRF验证失败问题及其原因,并提供了两种解决方案:一种是在表单中加入CSRF令牌;另一种是对于API接口使用`csrf_exempt`装饰器来禁用CSRF检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 测试Django编写的POST方法的API,报出下面的错误:

``` Forbidden (403) CSRF verification failed. Request aborted. You are seeing this message because this site requires a CSRF cookie when submitting forms. This cookie is required for security reasons, to ensure that your browser is not being hijacked by third parties. If you have configured your browser to disable cookies, please re-enable them, at least for this site, or for 'same-origin' requests. ```

2. ROOT CAUSE

Django提供了CSRF的防护。CSRF是跨站点请求伪造,简单来说就是用户在访问受信任网站后,浏览器记录了受信任网站的cookie,此时用户在不登出受信任网站的同时访问了危险网站,危险网站的请求和cookie一起到达服务器,服务器Session未过期的时候,就误认为该请求是用户发出的,从而被危险网站利用。在建立Django项目的时候,setting.py中就会有 ``` MIDDLEWARE = [ .... 'django.middleware.csrf.CsrfViewMiddleware', .... ] ```

3. solution

1. 如果是表单,可以在模版文件中加入` {% csrf_token %} `,而且模版的函数使用`reander`。 2. 如果是API也就没有模版,此时无法添加` {% csrf_token %} `,最后找到方法可以使用 `django.views.decorators.csrf` 的 `csrf_exempt`函数对POST的API函数进行修饰。可以使其避免CSRF安全检查机制。 例: 
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def add_event(request):

看网上又说将'django.middleware.csrf.CsrfViewMiddleware'注释掉,最好还是不要如此做,保持django默认安全机制,保持其安全特性。

CSRF攻击报错Forbidden (403)的Token验证机制
shejizuopin的博客
05-22 346
跨站请求伪造(CSRF)攻击是一种利用用户登录状态执行未授权操作的安全漏洞。为防御此类攻击,Token验证机制被广泛采用。该机制通过在请求中嵌入随机生成的Token,并在服务器端验证其有效性来防止CSRF攻击。本文通过Flask和Django的代码示例,展示了如何实现Token验证机制,并对比了手动实现与框架内置机制的优缺点。总结指出,Token验证机制是防御CSRF攻击的有效手段,开发者应根据框架特点选择合适的实现方式,确保Token的安全生成、传输和验证,以提升应用安全性。
Django+Vue中Post请求出现403错误
ChenXiangJian的博客
10-09 1457
原因1、没有csrf,需要在前端模板文件中加入csrf设置 <script type="text/javascript" src="{% static 'js/vue.js' %}"></script> <script type="text/javascript" src="{% static 'js/csrf.js' %}"></script>...
Django解决Ajax中post提交数据403的代码
09-15
Django中使用ajax post向后台传送数据时403 Forbidden (CSRF token missing or incorrect.):的解决办法
django post 403
felix20101101的博客
08-04 220
同一个地址GET方式可以正常访问 在POST 提交数据过程中报403错误, 原来是1.3版本settings.py 文件中 'django.middleware.csrf.CsrfViewMiddleware', 造成的,把这句注视掉就可正常访问了...
接口在apipost中请求成功在项目中请求403
平平无奇前端开发的博客
12-15 620
然后就把浏览器请求数据一点点全部复制到apipost中 发现 headers头中有一个Origin的参数 如果添加了 就会报错 不添加就正常请求。changeOrigin参数, 是一个布尔值, 设置为true, 本地就会虚拟一个服务器接收你的请求并代你发送该请求,确定问题之后 就是定位问题了 发现是因为在proxy代理中的一个changeOrigin字段设置为true就报错了。今天遇到一个问题 第三方接口请求的时候返回403的状态码.... 没有搞懂哪里出的问题。false就是覆盖这个行为 正常请求。
djangoForbidden (CSRF cookie not set.)
Watson的博客
09-08 1220
表示django全局发送post请求均需要字符串验证防止跨站请求伪造的功能客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。客户端-》URL路由系统 - 》 CSRF -》视图函数我这里要写的是一个内部使用的api接口,也不大会有 跨站请求伪造所以这里提供两个不是很推荐,但是非常简单的方式解决这个问题既然不需要 CSRF 这里我们就把CSRF检测关掉即可。
已解决:Django运行POST请求时报错:Forbidden (CSRF cookie not set.)
daxiangaifashi的博客
01-17 1236
解决办法:项目文件中的setting.py中的MIDDLEWARE将django.middleware.csrf.CsrfViewMiddleware语句注释掉 再运行就可以成功了。
django在接受post请求时显示403forbidden实例解析
12-23
Django框架中,当你尝试发送一个POST请求到服务器时,如果遇到403 Forbidden错误,这通常意味着请求被拒绝,因为Django的安全机制没有找到有效的CSRF(跨站请求伪造,Cross-Site Request Forgery)令牌。...
django】RESTful API 设计指南
春天的波菜
11-01 1550
通过上述优化和改造,您的RESTful API设计将更加符合现代最佳实践,提高API的可用性、安全性和可维护性。希望这些建议对您有所帮助!如果有更具体的需求或问题,请随时告诉我。
解决Django + DRF:403 FORBIDDENCSRF令牌丢失或不正确,{"detail":"CSRF Failed: CSRF cookie not set."}
qq_43475097的博客
11-06 4116
解决Django + DRF:403 FORBIDDENCSRF令牌丢失或不正确,{“detail”:“CSRF Failed: CSRF cookie not set.”} 我有一个Android客户端应用程序尝试使用Django + DRF后端进行身份验证。但是,当我尝试登录时,我收到以下响应: 403: CSRF Failed: CSRF token missing or incorrec...
django在接受post请求时显示403forbidden
qq_38660394的博客
07-26 1471
在测试Django的时候发现一个问题,就是按照一般教程设置好URL的mapping之后,使用get请求总能得到正确的回应,但是在使用post请求时,却根本无法得到请求,会显示403forbidden: Starting development server at http://127.0.0.1:8000/ Quit the server with CTRL-BREAK. Forbidden ...
Django app接口url报错Forbidden (CSRF cookie not set.)
热门推荐
小洋人最happy的专栏
08-23 1万+
这是因为Django对表单post请求做的安全性验证,在app开发中,可以干掉这一项,具体操作如下:修改settings.py文件,注释掉 django.middleware.csrf.CsrfViewMiddleware'MIDDLEWARE_CLASSES = [ 'django.middleware.security.SecurityMiddleware', 'django.c
Django接受post请求出现Forbidden (CSRF cookie not set.): /api/index
weixin_45153932的博客
06-01 579
Forbidden (CSRF cookie not set.): /api/index/ 解决办法 把Django中setting.py中’django.middleware.csrf.CsrfViewMiddleware’,注释掉 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'djang
解决django发送post请求出现403 Forbidden的问题
weixin_34102807的博客
05-01 520
ajax发送请求的代码如下:django框架的代码如下(关键是引入红框的库文件):参考链接: 官网:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax 转载于:https://blog.51cto.com/12831900/2388182...
Laravel 5.2问题-----postman进apipost请求,为什么出现Forbidden
weixin_34050005的博客
03-16 251
Forbidden?就纳闷了,有写验证规则的,但是它出现紧张,感觉就是我落了设置什么东西了才会这样? 果不其然, Laravel有个一自动验证的,创建的时候是默认打开的, namespace App\Http\Requests; use Illuminate\Foundation\Http\FormRequest; abstract class Request extends...
Django接收post请求报403错误
the_brave的博客
03-13 955
原因: Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传 csrf字段,导致校验失败,报403错误。 解决方法: 删除setting中的 ‘django.middleware.csrf.CsrfViewMiddleware’ MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', ...
django csrftoken ajax
03-10 1466
// AJAX请求,获取csrftoken $.ajaxSetup({ beforeSend: function(xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !
DjangoPOST请求报403,及四种解决方法
11-27 1829
djangocsrf安全工作顺序是:先从后台获取csrf_token 并发送给前端,然后前端在进行form表单提交时,把带有名为csrfmiddlewaretoken,值为 csrf_token 的字段一起发送给后端进行校验。Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传 csrf字段,导致校验失败,报403错误。但是本人不使用MTV模式进行开发,只使用 Restful模式,所以对于Restfu模式开发的,使用第四种解决方法。优点:完成了 csrf 安全校验。
【技巧】测试时如何获取变量的值
QingQingKK的博客
09-29 700
在进行接口测试的时候,有一些参数的值是一个变量值,会根据每一次登录请求之后会改变。这个变量一般命名为token也有其他的命名,这个变量主要对应的是登录状态,和登录信息。token过期或者更新,就需要重新获取token,不然无法进行登录之后的操作。 这个就是登录之后,返回的token值。 然后我们在看看我没有传递token这个参数进行查询操作会怎么样。 请求发送之后,返回给我们的是code=403,缺少token值。所以我们需要传递token这个值才能实现查询操作。 token这个参数传递
Failed to load resource: the server responded with a status of 403 (Forbidden) Django
最新发布
03-21
### Django403 Forbidden 错误的原因 Django 的 `403 Forbidden` 错误通常是由 CSRF 验证失败引起的。当客户端发送的请求缺少有效的 CSRF Token 或者该令牌不匹配时,服务器会返回此错误[^3]。 #### 原因分析 1. **CSRF Token 缺失**: 如果前端页面未包含 `{% csrf_token %}` 标签,则 POST 请求无法通过 CSRF 验证。 2. **CSRF Middleware 被禁用**: 若在设置文件中移除了 `'django.middleware.csrf.CsrfViewMiddleware'`,则可能导致某些安全机制失效[^4]。 3. **Ajax 请求未携带 Token**: 对于 AJAX 请求而言,如果未正确传递 CSRF Token 到后端服务端也会拒绝处理并抛出 403 错误[^2]。 --- ### 解决方案 以下是几种常见的解决方式: #### 方法一:确保表单中有 `{% csrf_token %}` 对于 HTML 表单提交的情况,在 `<form>` 标签内部加入 `{% csrf_token %}` 是必要的。例如: ```html <h1>用户登录</h1> <form method="post" action="/login/"> {% csrf_token %} <input type="text" name="user" placeholder="用户名"> <input type="password" name="pwd" placeholder="密码"> <input type="submit" value="提交"> </form> ``` 这样可以保证每次 HTTP POST 请求都附带合法的 CSRF Token[^5]。 #### 方法二:调整中间件配置 如果你确实不需要启用全局范围内的 CSRF 功能(比如开发 API 接口),可以选择临时关闭它。具体操作是在项目的 settings 文件里注释掉对应的 middleware 条目: ```python MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', # 'django.middleware.csrf.CsrfViewMiddleware', # 关闭 CSRF 检查 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ] ``` 注意这种方法可能降低应用的安全级别,因此仅适用于特定场景下的调试阶段。 #### 方法三:针对 Ajax 请求特别处理 为了使 JavaScript 发起的异步调用能够顺利通过验证,需手动获取当前网页上的隐藏字段 `_csrfmiddlewaretoken` 并将其作为自定义头部参数 X-CSRFToken 添加到 XMLHttpRequest 实例上。下面是一个基于 jQuery 库的例子演示如何实现这一点: ```javascript $.ajaxSetup({ beforeSend: function(xhr, settings){ if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type)) { xhr.setRequestHeader('X-CSRFToken', $('meta[name=csrf-token]').attr('content')); } } }); // 同时记得在 base.html 加入 meta tag 存储 token <meta name="csrf-token" content="{{ csrf_token }}"> ``` 另外一种更简洁的方式则是利用 fetch api 设置 headers 字段完成同样目的: ```javascript fetch('/url/',{ method:'POST', credentials:"same-origin", headers:{ "Content-Type":"application/json;charset=UTF-8", "X-CSRFToken":document.querySelector('[name=csrfmiddlewaretoken]').value, }, body:JSON.stringify(data), }) .then(response=>response.json()) .catch(error=>console.error('Error:',error)); ``` 以上两种做法都可以有效规避因为忘记附加必要信息而导致被拦截的现象发生. --- ### 总结 综上所述,要彻底根除此类现象的发生可以从以下几个方面入手考虑改进措施——确认模板渲染过程中已嵌套进去了相应的占位符;合理规划项目架构避免不必要的复杂度引入额外风险因素;最后再配合恰当的技术手段妥善处置特殊情况即可达成目标效果. ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值