django与vue前后端分离csrf跨域问题

最新推荐文章于 2025-04-10 14:33:29 发布
原创 最新推荐文章于 2025-04-10 14:33:29 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#django

本文详细介绍了如何在Django项目中解决跨域问题,包括安装并配置django-cors-headers包,设置中间件,以及前后端请求配置示例。

1.安装django-cors-headers:

pip install django-cors-headers

2.在settings.py中启用django.middleware.csrf.CsrfViewMiddleware中间件:

MIDDLEWARE = [

 ...

 'corsheaders.middleware.CorsMiddleware',

    'django.middleware.common.CommonMiddleware', # 注意顺序

 ....

]

 

3.跨域增加忽略
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_ALLOW_ALL = True
CORS_ORIGIN_WHITELIST = (
    '*'
)

CORS_ALLOW_METHODS = (
    'DELETE',
    'GET',
    'OPTIONS',
    'PATCH',
    'POST',
    'PUT',
    'VIEW',
)

CORS_ALLOW_HEADERS = (
    'XMLHttpRequest',
    'X_FILENAME',
    'accept-encoding',
    'authorization',
    'content-type',
    'dnt',
    'origin',
    'user-agent',
    'x-csrftoken',
    'x-requested-with',
    'Pragma',
)

4.使用get_token(request)获取csrftoken返回给前端(前端第一次访问要用GET方法请求):

import json
from django.middleware.csrf import get_token 
def search(request):
  result = {'Succeed':True,'Data':get_token(request)}
  return HttpResponse(json.dumps(result,ensure_ascii=False),content_type="application/json,charset=utf-8")

5.前端请求配置,这里使用的axios:

const service = axios.create({

baseURL: process.env.BASE_API, // api的base_url

//这三个是重点

xsrfCookieName: 'csrftoken',

xsrfHeaderName: 'X-CSRFToken',

withCredentials: true,

})

// request拦截器设置请求头

service.interceptors.request.use(config => {

let regex = /.*csrftoken=([^;.]*).*$/; // 用于从cookie中匹配 csrftoken值

config.headers['X-CSRFToken'] = document.cookie.match(regex) === null ? null : document.cookie.match(regex)[1];

//注:这里的cookie里的csrftoken是第一次GET请求里返回并保存到cookie里的

// config.headers['Content-Type'] = 'application/x-www-fromurlencodeed'

// config.headers['Access-Control-Allow-Credentials']=true

return config

}, error => {

console.log(error)

Promise.reject(error)

})

springsecurity之
qq_3316359388的博客
05-31 1194
从协议部分开始到端口部分结束,只要请求URL不同即被认为名对应的IP也不能幸免。 浏览器解决问题的方法有多种,包括JSONP、Nginx转发和CORS等。其中,JSONP和CORS需要后端参。 CORS(Cross-Origin Resource Sharing) 通常情况下,请求即便在不被支持的情况下,服务器也会接 收并进行处理,在CORS的规范中则避免了这个问题。 浏览器首先会发起一个请求方法为OPTIONS 的预检请求,用于确认服务器是否允许,只有在得到许可后才会发出实际
【Spring Security系列】CORS
qq_28248897的博客
07-16 1083
是一种浏览器同源安全策略,即浏览器单方面限制脚本的访问。 1.认识 很多人误认为资源时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏 览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。可 以论证这一点的著名案例就是CSRF站攻击。 此外,我们平常所说的实际上都是在讨论浏览器行为,包括各种WebView容器等(其中,以 XmlHttpRequest 的使用为主)。由于JavaScript 运行在浏览器之上,所以 Ajax的成为
SpringSecurity之
Littewood的博客
07-24 6151
SpringSecurity之解决
SpringSecurity(十一)【
Vinjcent
01-08 868
问题实际应用开发中的一个非常常见的需求,在 Spring 框架中对于问题的处理方案有好几种,引入了 Spring Security 之后,问题的处理方案又增加了。字段中的值,发现该值包含当前页面所在,就知道这个是被允许的,因此就不再对前端的请求进行限制。请求,这是一个很大的缺陷,而 CORS 则支持多种 HTTP 请求方法,也是目前主流的解决方案。方法配置,统统失效,通过 CorsFilter 配置的,有没有失效则要看过滤器的优先级。由于非简单请求首先发送一个。
Django+vue前后端分离项目
思想改变命运
12-26 2078
前后端分离项目搭建......
Django+vue前后端分离项目构建
oliver3455的博客
05-30 4076
Django+vue前后端分离项目构建
vue+django前后端分离 怎么解决csrf问题
最新发布
09-09
在使用VueDjango进行前后端分离时,解决CSRF问题可以采用以下方法: ### Django后端处理 1. **获取CSRF Token接口**:编写视图函数获取CSRF Token并返回给前端。可以使用`get_token(request)`函数来获取CSRF ...
从零开始搭建Django+vue前后端分离项目
一个间歇性踌躇满志,持续性混吃等死的小菜鸟
05-25 407
此博客仅是记录学习的过程!!! 今天也是又又又一次开始减肥的第一天!!! 减肥要加油~学习也要加油~ 备注:附上完整的项目结构+页面展示 一、环境准备 python3.x版本 python3 --version django3版本 python3 -m django --version node "brew install node"/node官网下载 mysql ...
django vue 前后端分离csrf验证问题
做最好的自己
11-02 4362
django vue-cli3 前后端分离csrf验证前言vue配置部分文件axios.js组件调用部分示例django配置部分views示例 前言 之前写过单独的一篇相关django配置部分配置,故这里忽略。 vue配置部分 文件axios.js let config = { baseURL: 'http://localhost:8000/', xsrfCookieName...
Spring Security(七) ——配置
eyes++的博客
07-26 4149
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的资源共享技术标准,其目的就是为了解决前端的请求,该机制通过允许服务器标示除了它自己以外的其它origin(,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的解决方案。...
spring security 请求防护
weixin_43931625的博客
06-04 630
springsecurity请求防护
SpringSecurity配置
weixin_64443786的博客
07-13 1921
SpringSecurity
第11章 Spring Security
Shiro框架02
10-28 201
什么是 在了解之前,我们先来了解以下同。同:协议、名、端口都相同;否则就是。例如在名 aa.com 下发起一个资源访问 aa.com/books/info 的Ajax 请求,这个请求是被允许的。因为它是同访问。如果在名 aa.com 下发起一个资源访问 bb.com/books/info 的Ajax请求,这个请求就是访问。一般情况下,访问都会报错。 Spring 解决办法 @CrossOrigin 第一种办法就是使用 @CrossOrigin 注解,可以在@RestContr
SpringSecurity配置访问
chinoukin的博客
12-10 4482
说明 java后端web服务有很多种方法可以实现访问,配置很简单,今天这里我们用SpringSecurity的方式配置访问,配置方法如下: package com.wisea.config; import org.springframework.context.annotation.Bean; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframe
spring security处理
LCY133的博客
04-10 1330
在 Spring Security 中处理问题(CORS)需要明确配置允许的请求规则,并确保 Spring Security 的过滤器链不会拦截合法的请求。正确配置后,前端应用可安全地后端 API 通信,同时保持系统的整体安全性。:需同时启用 Spring Security 的 CORS 支持(:OPTIONS 请求被 Spring Security 拦截。:Spring Security 过滤器链未正确处理 CORS。:禁用 CSRF 会降低安全性,需确保其他防护措施到位。
spring security 接口问题
qq_37724144的博客
06-16 261
spring security 登录接口问题
django csrf 问题 前后端分离
ZLl1314520的博客
01-03 215
csrf
SpringSecurity学习(六)CORS、异常处理
Huathy的博客
03-12 3993
CORS是W3C的一种资源共享技术标准,目的是为了解决前端请求(浏览器同源策略会对请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
django前后端分离,如何处理csrf token
05-01
<think>嗯,用户的问题是关于在Django前后端分离架构中正确处理CSRF Token的方法。我需要先回忆一下DjangoCSRF机制。Django默认通过中间件CsrfViewMiddleware来防御CSRF攻击,通常在前端模板中会自动生成token,但前后端分离时前端可能是Vue或React,无法直接使用模板标签。 根据引用内容,Django在第一次响应时会设置一个csrftoken的cookie,之后每次POST请求需要携带这个token。对于前后端分离,前端需要从cookie中获取这个token,并在请求头中带上。比如,引用2提到在Django的视图中使用get_token(request)生成token,然后前端需要处理这个token。 另外,引用5提到可以创建一个接口让前端获取token,比如定义一个/getToken的接口,返回生成的token。前端在首次请求时调用这个接口,获取token后存储起来,比如放在Vue的本地存储中,之后在每个请求的头部添加X-CSRFToken。 还需要注意,Django中间件会检查请求头中的X-CSRFToken是否和cookie中的一致。所以前端需要确保两者匹配。引用4提到,Django会在cookie中设置csrftoken,而前端需要在每个POST请求的头部添加这个token。 可能还需要处理问题,比如CORS设置,确保cookie可以传递,需要配置Django的CORS中间件,允许凭证传输,设置CSRF_COOKIE_SAMESITE等。同时,前端在axios或其他HTTP库中设置withCredentials为true,以携带cookie。 总结步骤应该是:后端生成token,通过接口或cookie提供给前端;前端获取后,在请求头中添加;后端验证请求头和cookie中的token是否一致。另外,可能需要调整Django的配置,如禁用CSRF中间件的部分检查,或者使用装饰器确保特定视图的CSRF验证。 用户可能需要具体的代码示例,比如如何在后端创建获取token的接口,前端如何存储和发送token。同时,常见问题比如403 Forbidden错误,可能由于未正确设置cookie或请求头导致,需要检查这些配置是否正确。 还要注意,如果用户完全不想使用CSRF保护,可能需要禁用中间件,但这是不推荐的,应该优先推荐正确的处理方法。可能还需要解释为什么CSRF前后端分离中仍然重要,尽管有些API可能认为不需要,但Django默认还是强制检查的,特别是使用Session认证时。</think>在Django前后端分离架构中处理CSRF Token的核心思路是:**通过接口动态获取Token并在请求头中传递**。以下是具体实现方法: --- ### 一、后端配置 #### 1. 启用CSRF中间件 确保`settings.py`中已启用CSRF保护: ```python MIDDLEWARE = [ ... &#39;django.middleware.csrf.CsrfViewMiddleware&#39;, ... ] ``` #### 2. 创建Token获取接口 在Django中定义专用接口返回CSRF Token: ```python from django.http import JsonResponse from django.middleware.csrf import get_token def get_csrf_token(request): token = get_token(request) # 自动生成并设置Cookie return JsonResponse({&#39;csrftoken&#39;: token}) # 返回JSON格式Token[^5] ``` 前端首次加载时调用此接口获取Token。 #### 3. 配置CORS(场景) 若前端独立部署,需在`settings.py`中添加: ```python CORS_ALLOW_CREDENTIALS = True # 允许携带Cookie CSRF_COOKIE_SAMESITE = &#39;None&#39; # 确保传输 CSRF_COOKIE_SECURE = True # HTTPS环境下启用 ``` --- ### 二、前端处理(以Vue为例) #### 1. 首次请求获取Token ```javascript axios.get(&#39;/api/get_csrf_token/&#39;).then(res => { localStorage.setItem(&#39;csrftoken&#39;, res.data.csrftoken) }) ``` #### 2. 请求头携带Token 在所有`POST/PUT/DELETE`请求中添加: ```javascript axios.post(&#39;/api/endpoint/&#39;, data, { headers: { &#39;X-CSRFToken&#39;: localStorage.getItem(&#39;csrftoken&#39;), }, withCredentials: true // 必须携带Cookie[^4] }) ``` --- ### 三、验证机制说明 1. Django会**自动验证**请求头`X-CSRFToken`Cookie中`csrftoken`是否匹配 2. 若验证失败返回`403 Forbidden`错误,需检查: - Cookie是否成功携带(`withCredentials: true`) - 请求头名称是否正确(默认`X-CSRFToken`) - Token是否过期(默认有效期随会话结束) --- ### 四、特殊场景处理 #### 完全禁用CSRF(不推荐) 可添加装饰器到视图类: ```python from django.views.decorators.csrf import csrf_exempt @csrf_exempt def api_view(request): ... ``` 或在中间件中注释掉`CsrfViewMiddleware`[^1] --- ### 常见问题排查 | 现象 | 解决方案 | |-------|----------| | "CSRF cookie not set" | 确保首次请求调用`get_token`接口[^3] | | 请求失败 | 检查CORS配置和`withCredentials`参数[^4] | | Token过期 | 重新调用获取Token接口 |
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值