Django项目学习之CSRF cookie not set.报错

最新推荐文章于 2024-06-09 19:25:06 发布
最新推荐文章于 2024-06-09 19:25:06 发布
阅读量3.2k 收藏 4
点赞数 1
分类专栏: Django项目学习报错记录 Django 杂记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43129747/article/details/104842537
版权

什么是 CSRF

CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。

csrf原理
csrf要求发送post,put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带上次分配的随机字符串到服务端进行校验

当我们写好某个路由,需要利用post请求发送ajax到后台的时候,会发现,报出如下警告。
在这里插入图片描述
然后浏览器会有如下错误:
在这里插入图片描述
这是因为在post请求时,我们没有加CsrfToken字段,而在Django项目中,这字段相当于提交数据的令牌,是必须的。如果在开发阶段可以直接把它注释掉,这样就不会报错。
在这里插入图片描述
如果项目完成之后,需要开启这个中间件,又该如何解决报错的问题呢。

此时又到了我们紧张刺激的看源码时候了。
先看下图:在这里插入图片描述
该字段是不是和上面的WARNINGN提示的错误文本很相似呢。

而我们的浏览器飘红报错又是出自哪里呢?
在这里插入图片描述
该框中的:REASON_NO_CSRF_COOKIE貌似在告诉我们,报错的原因是你的请求里没有带上CSRF cookie;

我们可以怎样获取cookie值呢?
有个很简单的办法,在浏览器中按下F12,进入开发模式。
然后输入命令:javascript:alert(document.cookie);浏览器便会把当前网页的cookie值以弹窗的方式发出来。

但是在没有注释掉csrf中间件的时候,我们利用这个命令,会发现它弹出的窗口有个cookie值

在这里插入图片描述
该cookie值的key是csrftoken.这时如果cookie中携带的有其他内容(以分号分隔),就要对cookie进行处理,比如说百度翻译的cookie值:
在这里插入图片描述

这时,在js里面写个getCookie方法,用于整理cookie,以获取csrf验证用的csrfToken:

    function getCookie(name) {
        let cookieValue = null;
        if (document.cookie && document.cookie !== '') {
            let cookies = document.cookie.split(';');
            for (let i = 0; i < cookies.length; i++) {
                let cookie = jQuery.trim(cookies[i]);
                // Does this cookie string begin with the name we want?
                if (cookie.substring(0, name.length + 1) === (name + '=')) {
                    cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                    break;
                }
            }
        }
        return cookieValue;
    }

然后获取所需字段就行了。
另外还需知道发送到后端的Ajax请求还需携带的csrf令牌的字段名,而这在cookie中是看不到的。
这时先看看源码吧。
在这里插入图片描述
这是对应的csrf中间件。

当用ajax发送请求时,请求头需要携带上的字段名是:‘X-CSRFToken’,而它的值对应的是cookie里面csrftoken的值。
在这里插入图片描述

所以我们需要在Ajax请求头加上。
在这里插入图片描述
然后在需要POST请求的表单元素里面加上:
{% csrf_token %}

但是这种写法需要在每个表单都加上{% csrf_token %}

还有一种方法,不需要为每个表单加上{% csrf_token %},那就是自定义一个中间件。(中间件是介于request 和 response 处理之间的一道处理过程,用于全局范围改变Django的输入和输出,简单的来说中间件是帮助我们在视图函数指向之前和执行之后都可以做一些额外的操作)

首先找到原本用于csrf认证的类:
浏览器发送post请求,该类可用于处理请求,找到该函数如下:
在这里插入图片描述

注意它上面还有个get_token函数:
在这里插入图片描述
在这里插入图片描述
在自定义的子类中,重写的处理请求函数,利用get_token函数返回post表单的CSRF令牌,交给process_request进行处理。
然后再注册中间件就可以了

from django.middleware.csrf import get_token
from django.utils.deprecation import MiddlewareMixin

# 继承MiddlewareMixin类
class Middleware(MiddlewareMixin):
	# 重写函数处理请求

	def process_request(self, request):
		# 调用包里的get_token函数,拿到令牌
		get_token(request)

随后再设置文件中注册中间件即可。

补充

在正确配置以上信息的情况下
还会引起csrf报错的其他原因:
在利用Post请求提交表单的时候,如果利用submit方法的话,需选取的是整个表单元素,如果想选取某个按钮利用click方法进行Post请求提交表单的话,只需选取按钮元素就行。如果submit方法选取的不是整个表单元素,而是选了提交按钮的话,也会报csrf丢失或不正确的错误。
在这里插入图片描述
在这里插入图片描述

李玉斧
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
1. **确认中间件配置**:确保在项目的`settings.py`文件中,`MIDDLEWARE`列表中包含了`django.middleware.csrf.CsrfViewMiddleware`。这个中间件负责处理CSRF保护。 2. **添加CSRF令牌到表单**:在每一个POST表单中...
django前后端分离模式的csrf报错403:CSRF cookie not set
sinat_30812239的博客
08-02 1508
问题描述:使用django开启csrf中间件,前端使用ajax的方式,请求使用除’GET’, ‘HEAD’, ‘OPTIONS’, 'TRACE’时,报错CSRF cookie not set 问题分析: 因为如果开启了csrf功能,前端除了’GET’, ‘HEAD’, ‘OPTIONS’, 'TRACE’请求提交数据时,都需要校验csrftoken,因为前端在请求时没有传csrftoken到后端...
CSRF验证报错:WARNING Forbidden (CSRF cookie not set.): /
fuyou@的博客
07-06 1652
根据路径"/",在url.py中找到url(r’^$', lrsupport.views.home, name=‘home’),对应函数是home(),加上@csrf_exempt,停止WARNING。
Django Forbidden (CSRF cookie not set.)解决办法
最新发布
人生苦短,何妨一试
06-09 531
这个中间件是为了防止跨站请求伪造的,平时用网页表单请求时,post提交是没有问题的,但是用api调用时就会被禁止,为了能使用接口调用post请求,就只能停用该插件了。
CSRF cookie not set
游海东的技术专栏
08-11 4881
1、错误描述 2、错误原因 由于django框架的settings.py配置了中间件,为了防止跨站请求伪造,form表单POST方式会导致出现报错 """ Django settings for amnd project. Generated by 'django-admin startproject' using Django 2.2.7. For more information on this file, see https://docs.djangoproject.com...
django报错 Forbidden (CSRF cookie not set.)
qq_64400532的博客
02-22 1195
这个错误是由于 DjangoCSRF(Cross-Site Request Forgery)保护机制导致的。CSRF 是一种攻击方式,通过伪装用户的请求来执行未经授权的操作。为了防止这种攻击,Django 默认情况下会要求在进行 POST 请求时携带 CSRF 令牌。
django】Forbidden (CSRF cookie not set.)
Watson的博客
09-08 1038
表示django全局发送post请求均需要字符串验证防止跨站请求伪造的功能客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找不到就拒绝。客户端-》URL路由系统 - 》 CSRF -》视图函数我这里要写的是一个内部使用的api接口,也不大会有 跨站请求伪造所以这里提供两个不是很推荐,但是非常简单的方式解决这个问题既然不需要 CSRF 这里我们就把CSRF检测关掉即可。
Django + DRF 接口访问 CSRF Failed: CSRF cookie not set 怎么办,教你解决
weixin_51098806的博客
03-22 2534
一.报错信息 "detail": "CSRF Failed: CSRF cookie not set." 二.错误原因 因为在SessionAuthentication中强制使用CSRF Token。如果未传递有效的CSRF令牌,则会引发403错误。 三.解决办法 你可以自定义中间件来禁止CSRF Token验证 MIDDLEWARE = [ ... "utils.csrf_middleware.NotUseCsrfTokenMiddlewareMixin" ] from django.uti
django 已取消csrf 验证 报错 "detail": "CSRF Failed: CSRF cookie not set."
hllyzms的博客
04-08 1426
使用apizza 做API文档 请求接口报错 apizza 请求时 会加上csrf 但是django的session验证 还会验证CSRF 去掉SessionAuthentication的验证后ok class SessionAuthentication(BaseAuthentication): """ Use Django's session fra...
vue-resource post数据时碰到Django csrf问题的解决
10-15
Django会检查请求头中的"X-CSRFToken"字段值是否与存储在cookie中的"csrftoken"值相匹配。如果不匹配,Django同样会拒绝请求并返回CSRF验证失败的错误。 ### 结论 在使用Vue.js与Django进行前后端分离开发时,正确...
django框架之cookie/session的使用示例(小结)
09-20
这些方法返回的都是HttpResponse对象,可以通过调用`set_cookie()`方法设置Cookie: ```python response.set_cookie(key, value, max_age=None, expires=None, path='/', domain=None, secure=False, httponly=...
Django 使用 cookie 实现简单的用户管理功能
10-16
本文将深入探讨如何在Django项目中利用cookie来管理用户,包括创建项目、模型定义、URL配置、视图处理以及模板设计。 首先,创建一个名为`user_manager`的Django项目,并在其中添加一个名为`app01`的应用。在`...
django框架cookie和session用法实例详解
09-18
- 跨站请求伪造(CSRF):在Django中,默认启用了CSRF保护,应使用`{% csrf_token %}`模板标签在POST表单中防止CSRF攻击。 - Cookie和Session的过期时间:合理的设置cookie和session的生命周期对于提升用户体验和...
Forbidden (CSRF cookie not set.): “POST /app/uploadcsv/ HTTP/1.1“ 403 2870 403报错解决
laosao_66的博客
03-09 1424
如果你删除了这个中间件,那么你的应用将不再具有 CSRF 保护,这会使你的应用更容易受到 CSRF 攻击。CSRF 保护是通过在客户端的 Cookie 中存储 CSRF 令牌来实现的,如果浏览器阻止了这些 Cookie,那么服务器就无法验证请求是否合法。另外,你可能需要在你的代码中实现其他方式的 CSRF 保护,例如使用 AJAX 请求时在请求头中添加 CSRF 令牌。另外,还有一种可能性是在其他地方手动应用了 CSRF 保护,例如在某些装饰器中或者在其他中间件中。装饰器来禁用 CSRF 保护。
csrf cookie ajax,django/jquery/Django REST FrameWork AJAX 请求返回detail: CSRF Failed: CSRF cookie not ...
weixin_42318225的博客
08-06 530
背景:django 1.11.6Django REST FrameWork 3.7.3使用jquery发送ajax请求,请求方法为get,可以正常运行,请求方法为post提示错误信息:"403Forbidden"-"detail:CSRFFailed:CSRFcookienotset"解决思路Followed https://docs.djangoproject.com/ko/1...
Django接收post请求报403(CSRF cookie not set)解决办法
洛城的博客
06-17 9876
按照restful接口风格,新建资源的接口请求方式应为post,结果发了post请求给django之后,报了个403forbidden。 打印了里面的text内容,发现里面提到了“CSRF cookie not set”,这个的解决办法就是在setting.py文件中注释: 'django.middleware.csrf.CsrfViewMiddleware', 这个中间件是为了防止跨站请求...
python---CSRF cookie not set.
tqg0325的专栏
03-01 1038
WARNING log 228 Forbidden (CSRF cookie not set.): /user/login/ WARNING basehttp 154 "POST /user/login/ HTTP/1.1" 403 2840 post提交需携带token问题三种解决方法 第一种: 在html文件form表单中添加{% csrf_token %} <for...
Django测试HTML表单实现登录过程中遇到错误提示:Forbidden (CSRF cookie not set.):
weixin_43498642的博客
08-22 499
Django测试HTML表单实现登录过程中遇到错误提示:Forbidden (CSRF cookie not set.):
django报错Forbidden (CSRF cookie not set.): /login/register
06-12
这个错误是由于DjangoCSRF保护机制引起的,它需要确保每个POST请求都具有与会话关联的CSRF令牌。 在Django中,每个POST请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。如果请求中不包含这个令牌,Django会抛出`Forbidden (CSRF cookie not set.)`错误。 为了解决这个问题,您需要在POST请求的表单中包含CSRF令牌。例如,在您的HTML表单中,可以添加以下代码: ```html {% csrf_token %} ``` 这将在表单中添加一个隐藏字段,其中包含与当前会话关联的CSRF令牌。当用户提交表单时,这个令牌将与请求一起发送,以通过CSRF保护。 如果您使用的是AJAX请求,可以将CSRF令牌作为请求头发送。例如,在JavaScript中,可以添加以下代码: ```javascript function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = cookies[i].trim(); if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrfToken = getCookie('csrftoken'); $.ajax({ ... headers: { 'X-CSRFToken': csrfToken }, ... }); ``` 这将在请求头中添加一个名为`X-CSRFToken`的头,其中包含与当前会话关联的CSRF令牌。这样,您的AJAX请求将通过CSRF保护。 请注意,如果您使用的是第三方库或框架,例如Django REST framework或jQuery,它们可能会自动处理CSRF令牌。在这种情况下,您不需要手动添加CSRF令牌。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值