在内部局域网只能使用IP访问的电脑中利用宝塔面板部署Django项目，如何解决CSRF验证问题？

最新推荐文章于 2024-03-18 20:57:11 发布

临武信息技术-孙贤鹏

最新推荐文章于 2024-03-18 20:57:11 发布

阅读量1.5k

点赞数 16

分类专栏： python Django 文章标签： tcp/ip django csrf python 网络网络协议

本文链接：https://blog.csdn.net/sunxianpeng2014/article/details/134777630

版权

python 同时被 2 个专栏收录

15 篇文章 0 订阅

订阅专栏

Django

8 篇文章 0 订阅

订阅专栏

在内部局域网中通过IP地址访问并使用宝塔面板部署的 Django 项目时，要解决 CSRF 验证问题，可以按照以下步骤操作：

确保 CSRF Token 正确设置：在你的 Django 模板中的表单标签内包含 {% csrf_token %}。这会自动处理 CSRF token 的生成和验证。
配置 CSRF_TRUSTED_ORIGINS：如果你的 Django 项目版本是 3.0 以上，需要在 settings.py 文件中添加内网 IP 地址到 CSRF_TRUSTED_ORIGINS 列表中，例如：
pythonCopy Code
CSRF_TRUSTED_ORIGINS = ['http://192.168.1.100', 'http://*.local']
这里假设 192.168.1.100 是你内网中访问 Django 项目的 IP 地址。如果你的局域网中有多个子域，可以使用通配符 * 来匹配。
检查 Middleware：确认 MIDDLEWARE 配置中包含 'django.middleware.csrf.CsrfViewMiddleware'。如果没有，请添加它。
调整 CSRF Cookie 设置：由于你是通过 IP 地址而非域名访问应用，CSRF_COOKIE_DOMAIN 可能不需要设置或者设置为 None（默认值）。
开启 DEBUG 模式排错：如果在调试过程中遇到 CSRF 验证问题，可以将 DEBUG 设置为 True 来获取更详细的错误信息。切记在生产环境中将 DEBUG 设置回 False。
考虑使用 @csrf_exempt 装饰器：如果某些视图确实不需要 CSRF 保护，可以使用 @csrf_exempt 装饰器来为这些特定的视图禁用 CSRF 验证。但请谨慎使用，因为这会降低安全性。
检查前端代码：如果你的项目是前后端分离的，确保前端在发送 POST 请求时携带了 CSRF token。通常，这涉及到从 cookie 中读取 CSRF token 并将其作为请求头或者表单数据发送。
使用 Secure and HttpOnly flags：如果可能的话，使用 CSRF_COOKIE_SECURE 和 CSRF_COOKIE_HTTPONLY 设置来增强 CSRF cookie 的安全性。CSRF_COOKIE_SECURE 确保 cookie 仅通过 HTTPS 传输，而 CSRF_COOKIE_HTTPONLY 防止 JavaScript 访问 cookie。
检查网络配置：确保网络配置没有影响到 CSRF token 的传输。比如，某些代理服务器可能会剥离掉 HTTP 头部。

通过上述步骤，你应该能够在局域网环境中解决 Django 项目的 CSRF 验证问题。在调整配置时，始终要注意保持应用的安全性。

CSRF_TRUSTED_ORIGINS 和 CSRF_COOKIE_DOMAIN 是 Django 框架中用于配置跨站请求伪造（CSRF）保护的设置参数。它们在不同的应用场景中发挥作用，下面分别介绍这两个参数的应用场景和作用：

CSRF_TRUSTED_ORIGINS

应用场景：当你的Django应用需要处理来自不同源（即不同的域名、协议或端口）的安全请求时，你需要告诉Django哪些源是可信的。比如，你的后端可能部署在 api.example.com，而前端部署在 example.com 或者 frontend.example.net。如果前端发送POST请求到后端，Django需要知道这些请求是可以接受的。

作用： CSRF_TRUSTED_ORIGINS 参数允许你指定一个列表，包含那些你希望Django接受其POST请求的源（域名）。这样，即使请求来自于不同的源，只要它们在 CSRF_TRUSTED_ORIGINS 列表中，Django就会认为这些请求是安全的，从而通过CSRF验证。

示例：
pythonCopy Code
CSRF_TRUSTED_ORIGINS = ['https://*.example.com', 'https://*.example.net']
这个设置允许来自任何子域名为 example.com 和 example.net 的HTTPS请求通过CSRF验证。
CSRF_COOKIE_DOMAIN

应用场景：当你的Django应用和前端服务不仅跨源，还可能运行在相同的主域名下的不同子域时，你可能需要设置CSRF cookie的域属性，以便在这些子域之间共享CSRF cookie。

作用： CSRF_COOKIE_DOMAIN 参数设置了Django创建的CSRF cookie的域属性。如果设置了此参数，Django发出的CSRF cookie将对指定的域及其子域有效。这意味着，如果你的前端和后端位于同一主域的不同子域下，你可以通过设置这个参数来确保前端能够读取并在请求中使用CSRF cookie。

示例：
CSRF_COOKIE_DOMAIN = '.example.com'
这个设置表示Django发出的CSRF cookie将对 example.com 及其所有子域有效，这样无论用户在 www.example.com 还是 api.example.com 都能够使用相同的CSRF cookie进行请求。

在使用这些设置时，请确保你理解了它们的安全影响，并且仅将可信的源添加到 CSRF_TRUSTED_ORIGINS 中。错误地配置这些参数可能会降低应用的安全性。

Python Django 项目中

.setting.py

CSRF_COOKIE_DOMAIN = None
CSRF_TRUSTED_ORIGINS = ['http://192.168.101.152']

如果在 Django 中将 `CSRF_COOKIE_DOMAIN` 设置为 `None`，这意味着 CSRF cookie 将不会设置特定的域属性，它将默认为客户端请求的完整域。在这种情况下，CSRF cookie 仅对发出设置该 cookie 的服务的域有效。

应用场景和情况：

单域应用：如果你的 Django 应用的前端和后端都在同一个域上运行，例如 www.example.com，那么通常不需要设置 CSRF_COOKIE_DOMAIN，因为 CSRF cookie 默认就是对当前域有效。在这种情况下，None 是合适的值。
无子域共享需求：如果你没有跨子域共享 CSRF token 的需求，比如你的应用没有使用如 api.example.com 和 www.example.com 这样的子域结构，那么也可以保留 CSRF_COOKIE_DOMAIN 的默认值 None。
避免潜在的安全问题：在一些情况下，如果你不确定是否所有子域都是安全的，或者不希望 CSRF cookie 被所有子域访问，那么最好将 CSRF_COOKIE_DOMAIN 设置为 None，以避免潜在的安全问题。
简化配置：对于简单的部署，可能不需要复杂的 CSRF cookie 域管理。在这种情况下，使用默认值 None 可以减少配置复杂性。

总之，CSRF_COOKIE_DOMAIN = None 适合于那些没有跨子域操作的简单应用，或者当你希望 CSRF cookie 严格绑定到发出它的确切域时。这有助于简化配置并提高安全性，因为 CSRF cookie 不会被发送到其他子域。如果有跨子域操作的需求，则需要设置相应的域名，以便在这些子域间共享 CSRF cookie。