Django 中的 csrf_token 与单元测试报错处理

最新推荐文章于 2024-06-11 00:17:35 发布
最新推荐文章于 2024-06-11 00:17:35 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: python web开发 文章标签: django 单元测试 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tumaolin94/article/details/72875107
版权
在阅读《Python Web开发:测试驱动方法》第五章时,遇到Django高版本(>1.7)中关于csrf_token模板标签在单元测试时导致的错误。在Django 1.10.x版本中,视图与render_to_string()生成的令牌值不一致,官方建议使用1.8.7长期支持版本。为了解决此问题,采取了一种正则表达式删除csrf_token标签的临时方法。
摘要由CSDN通过智能技术生成

在Harry J.W. Percival 所著的<Python Web开发:测试驱动方法>中的第五章,在单元测试部分存在一个bug。

即,在高版本的Django(>1.7)中,在渲染模板时,Django 会把这个模板标签替换成一个<input type="hidden">元素,其值是CSRF 令牌。

from django.test import TestCase
from django.core.urlresolvers import resolve
from django.http import HttpRequest
from django.template.loader import render_to_string

from .views import home_page


class HomePageTest(TestCase):

    def test_root_url_resolves_to_home_page_view(self):
        found = resolve('/')
        self.assertEqual(found.func, home_page)

    def test_home_page_returns_correct_html(self):
        request = HttpRequest()
        response = home_page(request)
        expected_html = render_to_string('home.html')
        self.assertEqual(response.content.decode(), expected_html)
所以在执行单元测试时, 通过视图函数 home_page() 渲染得到的响应包含csrf转换的 <input> 元素,而 render_to_string() 则未生成该部分,所以导致测试失败。

会产生如下错误消息。

$ python3 manage.py test lists

Creating test database for alias 'default'...

F.

======================================================================

FAIL: test_home_page_returns_correct_html (lists.tests.HomePageTest)

----------------------------------------------------------------------

Traceback (most recent call last):

  File "/home/panzeyan/PycharmProjects/TDD/superlists/lists/tests.py", line 20, in test_home_page_returns_correct_html

    self.assertEqual(response.content.decode(), expected_html)

AssertionError: '<htm[240 chars]     <input type=\'hidden\' name=\'csrfmiddlew[184 chars]l>\n' != '<htm[240 chars]     \n        </form>\n\n        <table id="i[87 chars]l>\n'



----------------------------------------------------------------------

Ran 2 tests in 0.256s



FAILED (failures=1)

Destroying test database for alias 'default'...
在博客http://www.cnblogs.com/panzeyan/p/5819373.html中,给出了1.8.x~1.9.x的解决方案,即在调用 render_to_string()时的末尾添加 request=request

但这种解决方案没有办法在笔者的1.10.x版本正常使用。因为视图中产生的令牌值与调用render_to_string()返回的令牌值不同。

在经过多次查询后可知,这个问题暂时没有办法以正规途径解决,甚至原文作者也建议大家使用1.8.7版本,因为1.8.x是长期支持版本。

https://groups.google.com/forum/#!topic/obey-the-testing-goat-book/fwY7ifEWKMU

但为了不影响自己的使用并且不降级django的版本,笔者决定采用讨巧的方法,利用正则表达式删除相关的标签。代码如下:

        csrf_regex = r'<input[^>]+csrfmiddlewaretoken[^>]+>'
        print('expected_html\n',expected_html)
        observed_html = re.sub(csrf_regex, '', response.content.decode())
        expected_html = re.sub(csrf_regex, '', expected_html)

虽然并不建议大家使用这种方法,但在特殊情况下也可以参考一下。



我不修电脑
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django的crsf_token单元测试报错
BANANAML的博客
10-08 322
在学习《Python Web开发:测试驱动方法时》,作者使用的django版本是1.7,笔者使用的版本是2.2,这就导致了一些执行文的代码时出现一些问题。 比如,在之前执行一直没有出错的单元测试tests.py代码,在第五章引入表单之后,home.html模板需在<form> </form>标签内添加CSRF令牌{% csrf_token %},添加csrf令牌之后,再...
Django Cross Site Request Forgery protection(csrfcsrf_token
Lockey23的博客
08-22 577
在构建Django应用的时候如果涉及到表单或者一些ajax数据的提交操作,就难免会遇到csrf的问题,一般来说按照官网解说示例走都没啥问题,但是!大部分人不看官网文档,东拼一点,西凑一点,应用是跑起来了,但是出现点相关问题又是摸不着头脑;而且有些时候就算在官网看文档也是找不对地方,比如文档版本和应用框架不匹配,导致部分操作根本对不上。 今天我看了一下官网对于Django 2.0Cross Si...
django错误-已添加csrf_token,仍显示403 Forbidden
j1451284189的博客
04-13 1137
已添加csrf_token,仍显示403 Forbidden 查找了很多文档:好像是说由于浏览器的问题,有两个csrf_token(session与表单),两个csrf_token不一致导致验证不通过。
Django 安全性与防御性编程:如何保护 Django Web 应用
最新发布
Gefangenes的博客
06-11 914
使用 Django ORM 提供的查询方法,如。
python requests请求带有csrf-token的网站,比如使用Django搭建的网站
水月灯花的博客
05-15 7923
1、post请求原理 在使用Pythonrequest模块的post请求时,由于网站开启了csrf跨站请求攻击,会出现403错误,因为我们在使用post的时候没有携带csrf数据去验证,网站会不认可我们,因此我们需要第一次的时候使用get请求,然后使用re正则匹配到这个csrf-token命令,取出来这个命令,然后在使用post发送请求,在请求的数据添加csrf的键值对,然后就可以使用post访问到网上了,并且也可以post请求携带数据。 2、操作方式 就是先访问一次登录页,然后从登录页查找
Djano token认证解决思路
weixin_38942791的博客
11-21 470
需求描述 接昨天的话题,写接口如何能更安全的调用。经过讨论,我们要像其它平台一样做一个token,在访问接口的时候首先要验证token参数,正确之后才能调用接口 解决思路 1.网上有很多解决的方法,多数使用的是rest_framework.authtoken这一模块,在这里贴一篇文章Django使用Token实现认证,简洁,直观,具体内容不再赘述,大体看了一下设计的模型,通过该模块生成的t...
Django 之前端获取 csrftoken 的几种方式以及源码解释(超详细)
她°
06-10 4524
如果是前后端不分离的项目,django 为了防止 XSS 攻击,要求所有 form 表单提交时加上 标签,前端会再 html 加入一个 input 标签 这个间件就是来验证 csrf_token 如果没有加,就会出错,这个 token 每次刷新页面时都会刷新,客户在请求时。会再服务器端生成一个 token,然后放在 cookie里面,每次 post 请求都会带上这个 token,去和表单里面的去对比。官⽅⽂档说到,检验token时,只⽐较secret是否和cookie的secret值⼀样,⽽不是
安全开发 | 如何让Django框架CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
当用户提交表单时,Django会检查表单提供的CSRF令牌是否与Cookie的令牌匹配,如果匹配,则认为请求是安全的,否则会抛出"CSRF token missing or incorrect"的错误。 解决这个错误的方法通常涉及以下几个步骤: ...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
`api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr`这个标题暗示了我们在讨论一个使用Redis作为存储机制,来处理Django框架Token验证的场景。这里的`exclaimedthp`和`roselgr`可能是项目或特定组件的...
django使用post方法时,需要增加csrftoken的例子
09-17
Django框架,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器利用已登录用户的权限...
详解DjangoCSRF认证实现
09-20
另外,对于使用Ajax的POST请求,也需要确保在请求头携带CSRF token,例如设置为`X-CSRFToken`。 总的来说,DjangoCSRF认证实现是其安全性的重要组成部分,有效地防止了恶意的跨站请求,保护了用户的数据安全。...
django设置csrf_token
qq_43593912的博客
05-11 3595
一、关于csrf_token csrf:跨站请求伪造,防止其他人改造,盗取信息,反正就是一种网站的防护措施 服务器端:设置随机的csrf_token,get请求的时候就该设置好 客户端:携带上相应的csrf_token,post请求的时候携带上 二、form表单设置csrf_token 通过模板标签进行设置 当提交post请求的时候会自动带上 三、针对某个类视图设置csrf_token fr...
Django---csrf_token
weixin_30783629的博客
12-03 501
1、csrf_token的作用 django为用户实现防止跨站请求伪造的功能,通过间件 django.middleware.csrf.CsrfViewMiddleware 来完成。 2、设置csrf_token 对于django设置防跨站请求伪造功能有分为全局和局部。 (1)全局 settings.py文件: MIDDLEWARE=[  ......  django.middle...
Django间件与CSRF_TOKEN
Mchen的博客
11-23 977
Django间件类似于django的门户,所有的请求来和响应走走必须经过间件间件顾名思义,是介于request与response处理之间的一道处理过程,相对比较轻量级,并且在全局上改变django的输入与输出。因为改变的是全局,所以需要谨慎实用,用不好会影响到性能间件它的执行位置在web服务网关接口之后,在路由匹配之前执行的Django给我们提供了创建自定义间件的方式,通过创建自定义间件来实现全局的功能,例如全局用户黑名单校验、全局用户访问频率校验、网站全局用户身份校验等等。
Django的cs rf token验证
qq_41048761的博客
03-12 442
CSRF(Cross Site Request Forgery protection),文简称跨站请求伪造。django对POST请求,csrf会进行认证处理csrf认证机制是防御跨站伪造功能,在没有任何处理的前提下,POST请求会报错Django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。 例子如下: login.html页面: 浏
Flask的AssertionError: View function mapping is overwriting an existing endpoint function:xxxxx错误
TF的博客
05-05 1064
from flask import Flask,render_template,request,session,redirect app = Flask(__name__) app.secret_key='ddsfdsfsd' @app.route('/login',methods=['GET','POST']) def login(): if request.method=='GET': return render_template('login.html') el
关于djangocsrf_token
weixin_43700349的博客
05-01 1096
什么是csrf_token csrf_tokendjango的一种安全机制,增加验证,是否是通过get请求先访问页面,然后再进行的提交,否则无法直接提交 当以form表单提交时,django会自动处理csrf_token 但是当使用ajax提交时,不会像form表单那样自动处理,必须手动获取 如何避免csrf_token报错 在from表单加入{% csrf_token %} <form action='{% url 'LOGIN' %}' method="post"> ..
django {% csrf_token %}
05-16
Django,使用{% csrf_token %}标签可以生成一个随机的CSRF令牌。这个令牌会在提交表单时一起提交给服务器,服务器会验证这个令牌是否与用户登录信息匹配,如果不匹配,则认为这是一次恶意请求,服务器会拒绝执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值