Django API Post 403 FORBIDDEN

最新推荐文章于 2024-06-24 22:19:15 发布
最新推荐文章于 2024-06-24 22:19:15 发布
阅读量2.2k 收藏 2
点赞数 2
分类专栏: ----------------------python 文章标签: django csrf api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sevensevensevenday/article/details/78162087
版权

1. 测试Django编写的POST方法的API,报出下面的错误:

``` Forbidden (403) CSRF verification failed. Request aborted. You are seeing this message because this site requires a CSRF cookie when submitting forms. This cookie is required for security reasons, to ensure that your browser is not being hijacked by third parties. If you have configured your browser to disable cookies, please re-enable them, at least for this site, or for 'same-origin' requests. ```

2. ROOT CAUSE

Django提供了CSRF的防护。CSRF是跨站点请求伪造,简单来说就是用户在访问受信任网站后,浏览器记录了受信任网站的cookie,此时用户在不登出受信任网站的同时访问了危险网站,危险网站的请求和cookie一起到达服务器,服务器Session未过期的时候,就误认为该请求是用户发出的,从而被危险网站利用。在建立Django项目的时候,setting.py中就会有 ``` MIDDLEWARE = [ .... 'django.middleware.csrf.CsrfViewMiddleware', .... ] ```

3. solution

1. 如果是表单,可以在模版文件中加入` {% csrf_token %} `,而且模版的函数使用`reander`。 2. 如果是API也就没有模版,此时无法添加` {% csrf_token %} `,最后找到方法可以使用 `django.views.decorators.csrf` 的 `csrf_exempt`函数对POST的API函数进行修饰。可以使其避免CSRF安全检查机制。 例: 
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def add_event(request):

看网上又说将'django.middleware.csrf.CsrfViewMiddleware'注释掉,最好还是不要如此做,保持django默认安全机制,保持其安全特性。

kaliopensourcextu
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django+Vue中Post请求出现403错误
ChenXiangJian的博客
10-09 1330
原因1、没有csrf,需要在前端模板文件中加入csrf设置 <script type="text/javascript" src="{% static 'js/vue.js' %}"></script> <script type="text/javascript" src="{% static 'js/csrf.js' %}"></script>...
Python - Django框架 - REST API开发
热爱技术,热爱生活
10-23 689
1. Web应用模式 1.1 前后端不分离 在前后端不分离的应用模式中,前端页面看到的效果都是由后端控制,由后端渲染页面或重定向,也就是后端需要控制前端的展示,前端与后端的耦合度很高。 应用场景分析 这种应用模式比较适合纯网页应用,但是当后端对接App时,App可能并不需要后端返回一个HTML网页,而仅仅是数据本身,所以后端原本返回网页的接口不再适用于前端App应用,为了对接App后端还需再开...
Django解决Ajax中post提交数据403的代码
09-15
Django中使用ajax post向后台传送数据时403 Forbidden (CSRF token missing or incorrect.):的解决办法
django post 403
felix20101101的博客
08-04 181
同一个地址GET方式可以正常访问 在POST 提交数据过程中报403错误, 原来是1.3版本settings.py 文件中 'django.middleware.csrf.CsrfViewMiddleware', 造成的,把这句注视掉就可正常访问了...
django后台登录:Forbidden (403) CSRF verification failed.
最新发布
m0_74139794的博客
06-24 458
next=/admin/ 请求方法: POST 状态代码: 403 Forbidden。如果您的Django站点后面有代理服务器(如Nginx或Apache),请确保代理正确设置了HTTP头信息,如。前面的方法都尝试过了,没有作用。
django】Forbidden (CSRF cookie not set.)
Watson的博客
09-08 1050
表示django全局发送post请求均需要字符串验证防止跨站请求伪造的功能客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。客户端-》URL路由系统 - 》 CSRF -》视图函数我这里要写的是一个内部使用的api接口,也不大会有 跨站请求伪造所以这里提供两个不是很推荐,但是非常简单的方式解决这个问题既然不需要 CSRF 这里我们就把CSRF检测关掉即可。
已解决:Django运行POST请求时报错:Forbidden (CSRF cookie not set.)
daxiangaifashi的博客
01-17 1143
解决办法:项目文件中的setting.py中的MIDDLEWARE将django.middleware.csrf.CsrfViewMiddleware语句注释掉 再运行就可以成功了。
Django app接口url报错Forbidden (CSRF cookie not set.)
热门推荐
小洋人最happy的专栏
08-23 1万+
这是因为Django对表单post请求做的安全性验证,在app开发中,可以干掉这一项,具体操作如下:修改settings.py文件,注释掉 django.middleware.csrf.CsrfViewMiddleware'MIDDLEWARE_CLASSES = [ 'django.middleware.security.SecurityMiddleware', 'django.c
django在接受post请求时显示403forbidden实例解析
12-23
Django框架中,当你尝试发送一个POST请求到服务器时,如果遇到403 Forbidden错误,这通常意味着请求被拒绝,因为Django的安全机制没有找到有效的CSRF(跨站请求伪造,Cross-Site Request Forgery)令牌。...
Django 创建 REST API
haiiiiiyun的博客
03-25 451
REST API 设计基础 REST API 操作与 HTTP 方法的关系 请求目的 | HTTP 方法 | 相应的 SQL ------------------------------------|-----------| 创建一个资源 | POST | INSERT 读取一个现有资源 ...
Django接受post请求出现Forbidden (CSRF cookie not set.): /api/index
weixin_45153932的博客
06-01 501
Forbidden (CSRF cookie not set.): /api/index/ 解决办法 把Django中setting.py中’django.middleware.csrf.CsrfViewMiddleware’,注释掉 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'djang
解决django发送post请求出现403 Forbidden的问题
weixin_34102807的博客
05-01 484
ajax发送请求的代码如下:django框架的代码如下(关键是引入红框的库文件):参考链接: 官网:https://docs.djangoproject.com/en/dev/ref/csrf/#ajax 转载于:https://blog.51cto.com/12831900/2388182...
Laravel 5.2问题-----postman进apipost请求,为什么出现Forbidden
weixin_34050005的博客
03-16 217
Forbidden?就纳闷了,有写验证规则的,但是它出现紧张,感觉就是我落了设置什么东西了才会这样? 果不其然, Laravel有个一自动验证的,创建的时候是默认打开的, namespace App\Http\Requests; use Illuminate\Foundation\Http\FormRequest; abstract class Request extends...
Django接收post请求报403错误
the_brave的博客
03-13 868
原因: Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传 csrf字段,导致校验失败,报403错误。 解决方法: 删除setting中的 ‘django.middleware.csrf.CsrfViewMiddleware’ MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', ...
django csrftoken ajax
03-10 1419
// AJAX请求,获取csrftoken $.ajaxSetup({ beforeSend: function(xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !
DjangoPOST请求报403,及四种解决方法
11-27 1316
djangocsrf安全工作顺序是:先从后台获取csrf_token 并发送给前端,然后前端在进行form表单提交时,把带有名为csrfmiddlewaretoken,值为 csrf_token 的字段一起发送给后端进行校验。Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,没有上传 csrf字段,导致校验失败,报403错误。但是本人不使用MTV模式进行开发,只使用 Restful模式,所以对于Restfu模式开发的,使用第四种解决方法。优点:完成了 csrf 安全校验。
【技巧】测试时如何获取变量的值
QingQingKK的博客
09-29 639
在进行接口测试的时候,有一些参数的值是一个变量值,会根据每一次登录请求之后会改变。这个变量一般命名为token也有其他的命名,这个变量主要对应的是登录状态,和登录信息。token过期或者更新,就需要重新获取token,不然无法进行登录之后的操作。 这个就是登录之后,返回的token值。 然后我们在看看我没有传递token这个参数进行查询操作会怎么样。 请求发送之后,返回给我们的是code=403,缺少token值。所以我们需要传递token这个值才能实现查询操作。 token这个参数传递
Django 403错误
djshichaoren的专栏
10-20 860
Django默认对所有的POST请求都进行csrftoken验证,若验证失败则403错误侍候。 需要添加{% csrf_token %} {% csrf_token %} 会员名
django中http请求报403解决方案
peace
09-17 5144
django编写HTTP请求django环境搭建开始撸请求跨站问题 django环境搭建 不再赘述,网上有的是 开始撸请求 views中并没有写死到底是接收post还是get,我们可以自己进行判断,如不判断,都可以接收 如下: @csrf_exempt def testapi(request): resp = {'code':10000,'msg':'success','data':{}}...
django 发送post请求时forbidden
07-17
当在Django中发送POST请求时遇到"forbidden"(禁止访问)错误时,通常是由于CSRF保护机制导致的。 Django默认启用了CSRF(Cross-Site Request Forgery)保护,这是一种用于防止跨站点请求伪造的安全机制。当你在发送POST请求时,需要在请求中包含CSRF令牌。否则,Django会拒绝该请求并返回"forbidden"错误。 你可以尝试以下方法来解决这个问题: 1. 在发送POST请求之前,确保你的页面上包含了CSRF令牌。可以通过在表单中添加`{% csrf_token %}`标签来实现。 2. 在发送POST请求时,确保你的请求中包含了CSRF令牌。可以通过在请求的数据中添加`csrfmiddlewaretoken`参数,并将其值设置为CSRF令牌的值。 ```python import requests # 获取CSRF令牌 def get_csrf_token(): import re import requests response = requests.get('http://your-domain.com') match = re.search(r'csrfmiddlewaretoken\' value=\'(.+?)\'', response.text) if match: return match.group(1) return '' # 构造POST请求 url = 'http://your-domain.com/post-endpoint' csrf_token = get_csrf_token() data = { 'param1': 'value1', 'param2': 'value2', 'csrfmiddlewaretoken': csrf_token } response = requests.post(url, data=data) ``` 3. 如果你正在使用Ajax来发送POST请求,可以将CSRF令牌添加到请求的头部。 ```javascript $.ajaxSetup({ beforeSend: function(xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) { // Only send the token to relative URLs i.e. locally. xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken')); } } }); ``` 请注意,以上方法中的代码示例是一种通用的做法,具体实现方式可能因你的Django版本和项目配置而有所不同。你可以根据实际情况进行适当的调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值