文章目录
CSRF 控制
-
如何绕开 CSRF, 编写一个方法获取 csrf_token, 而后每次请求时携带
csrfmiddlewaretoken
from django.http import HttpResponse from django.template.context_processors import csrf def get_csrf(request): #生成 csrf 数据,发送给前端 x = csrf(request) csrf_token = x['csrf_token'] return HttpResponse(csrf_token)
-
使用 restframwork 的 delete 和 put 方法时,出现 403
403 {"detail":"CSRF Failed: CSRF token missing or incorrect."}
- 由于post 方法使用的是 form-data 方法
- 而 delete 和 put 方法使用的却是 headers 的传参方式
headers={"X-CSRFToken": csrf}
-
调用delete 接口删除 报错
{"detail":"方法 “DELETE” 不被允许。"}
- 由于不能直接通过body 方式传参
- 需要将URL 改为
object/id/
的格式
import requests resp = session.delete(url="http://127.0.0.1:8001/users/9/", headers={"X-CSRFToken": csrf})