我在Django应用程序模板中有一个典型的登录表单(它直接使用Bootstrap,而不是通过某个插件):
{% csrf_token %}Please sign in
Login:
Password:
Sign in
下面是通过requests module执行远程身份验证的相应视图:
^{pr2}$
{js{Ajax成功的原因是,{csa3}为了其他目的,我可以通过远程Javascript进行一次查询(例如,对于RESTful服务器来说,^和远程查询一样)。正如上面的代码所示,该服务器使用基本身份验证。所以我想在每个Ajax调用的头中设置CSRF令牌,但这并没有遵循相同的源代码原则:var csrftoken = $.cookie('csrftoken'); // using the jQuery Cookie plugin
$.ajaxSetup({
headers: {
'Authorization': "Basic XXXXX"
}
beforeSend: function(xhr, settings) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
});
$.ajax({
type: "GET",
dataType: "jsonp",
url: remote_server_url+'/api/v1/someRESTfulResource/',
contentType: 'application/json',
success: function(data){
// some operations with data
}
});
Ajax调用和身份验证中使用的remote_server_url是相同的,并且它与Django应用程序不共享同一个域。据我所知,这是一个安全隐患。出于同样的原因,我也不想在Javascript代码中使用纯文本密码。如何使用用户凭据安全地对远程服务器进行Ajax调用?在