前端:Django Ajax CSRF 认证

最新推荐文章于 2023-02-14 10:32:57 发布
原创 最新推荐文章于 2023-02-14 10:32:57 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Django 中自带了 防止CSRF攻击的功能,但是一些新手不知道如何使用,给自己编程带来了麻烦。常常会出现下面django csrf token missing or incorrect的错误。

GET 请求不需要 CSRF 认证,POST 请求需要正确认证才能得到正确的返回结果。一般在POST表单中加入 {% csrf_token %}

1

2

3

4

5

<form method="POST" action="/post-url/">

    {% csrf_token %}

     

    <input name='zqxt' value="自强学堂学习Django技术">

</form>

如果使用Ajax调用的时候,就要麻烦一些。需要注意以下几点:

  1. 在视图中使用 render (而不要使用 render_to_response)

  2. 使用 jQuery 的 ajax 或者 post 之前 加入这个 js 代码:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

jQuery(document).ajaxSend(function(event, xhr, settings) {

    function getCookie(name) {

        var cookieValue = null;

        if (document.cookie && document.cookie != '') {

            var cookies = document.cookie.split(';');

            for (var i = 0; i < cookies.length; i++) {

                var cookie = jQuery.trim(cookies[i]);

                // Does this cookie string begin with the name we want?

                if (cookie.substring(0, name.length + 1) == (name + '=')) {

                    cookieValue = decodeURIComponent(cookie.substring(name.length + 1));

                    break;

                }

            }

        }

        return cookieValue;

    }

    function sameOrigin(url) {

        // url could be relative or scheme relative or absolute

        var host = document.location.host; // host + port

        var protocol = document.location.protocol;

        var sr_origin = '//' + host;

        var origin = protocol + sr_origin;

        // Allow absolute or scheme relative URLs to same origin

        return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||

            (url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||

            // or any other URL that isn't scheme relative or absolute i.e relative.

            !(/^(\/\/|http:|https:).*/.test(url));

    }

    function safeMethod(method) {

        return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));

    }

 

    if (!safeMethod(settings.type) && sameOrigin(settings.url)) {

        xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));

    }

});

或者 更为优雅简洁的代码(不能写在 .js 中,要直接写在模板文件中):

1

2

3

$.ajaxSetup({

    data: {csrfmiddlewaretoken: '{{ csrf_token }}' },

});

这样之后,就可以像原来一样的使用 jQuery.ajax() 和 jQuery.post()了

 

关于 django ajax csrftoken
ck07
02-27 509
若不想把js写在模版中可以用如下方法:    event.preventDefault(); data=$("#verifyPersonForm").serialize() $.ajax({                 url: "/usercenter/authentication/",                 type: "post",
Forbidden (CSRF token missing or incorrect.):错误解决
DBA之路的博客
08-14 5164
在JS中,使用post方法提交数据到后台,出现错误: Forbidden (CSRF token missing or incorrect.):.........; 解决办法: 在页面导入JS的位置,补上以下代码即可: <script> $.ajaxSetup({ data:{csrfmiddlewaretoken:'{{ csrf_token }}'} }); <script> ...
解决403之Forbidden (CSRF token missing or incorrect.))(Djangoajax实现收藏功能)
与其临渊羡鱼,不如进而结网。
02-27 2549
在仿造慕课网上的Python2.7到3.6完美升级 强力django+杀手级xadmin ,实现机构的收藏功能时报错如下:  解决如下:
Forbidden (CSRF token missing or incorrect.)问题解决
qq_21649903的博客
02-14 1522
解决Forbidden (CSRF token missing or incorrect.)
"CSRF token missing or incorrect."的解决方法.
热门推荐
老骥伏枥,志在千里
10-23 4万+
问题: Forbidden (403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a genuine Cross Si
Django:Ajaxcsrf_token
HR_tigerking的博客
12-20 1063
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局...
djangoAjax Post请求CSRF认证问题
qq_37668510的博客
07-05 860
Post请求CSRF认证问题
django 取消csrf限制的实例
09-17
Django的`django.middleware.csrf.CsrfViewMiddleware`默认会将`csrftoken`放入Cookie中,但前端JavaScript无法直接读取。 为了解决这个问题,可以使用`django-cors-headers`这个第三方库来处理跨域请求。首先安装...
django框架中ajax的使用及避开CSRF 验证的方式详解
09-18
Django框架中,使用Ajax可以实现前端与后端的异步交互,提高用户体验,而CSRF(Cross-site request forgery,跨站请求伪造)验证是Django为了防止恶意第三方模拟用户发送请求的一种安全机制。然而,有些情况下,...
django 使用ajax请求 Forbidden (CSRF token missing or incorrect.)
夜璨如炽
01-25 1065
django框架默认继承了防CSRF(英文:Cross-site request forgery)攻击的中间件,也就是每次页面请求都会随机生成一个符串又称CSRF_TOKEN,这是一个很实用的功能,推荐开启,但是开启此中间件,如果不在请求(POST)里附带CSRF_TOKEN值,请求就会被拦截掉。初次接触时,上网看了很多解决方案都不太正确,特此整理一下。
Web安全之CSRF攻击
weixin_34221775的博客
03-01 375
CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下: htt...
Django中使用ajax post向后台传送数据时403 Forbidden (CSRF token missing or incorrect.):的解决办法
安心写bug的博客
09-15 7536
Django中使用ajax post向后台传送数据时会出现403 Forbidden (CSRF token missing or incorrect.): 的报错。 第一种解决方法: 先看一下ajax的使用方法: $.ajax({ url: '{% url '' %}', type: 'post', data: {...
django ajax请求 csrf验证失败
无形的专栏
12-02 3737
如何解决django ajax请求 csrf验证失败的问题: 原文链接:http://stackoverflow.com/questions/5100539/django-csrf-check-failing-with-an-ajax-post-request 大概意思是:django官方给出的方法都不起作用, 高手给了这样一段代码来设置请求: /*===================
403 Forbidden."CSRF token missing or incorrect"响应的处理解决方法
qq_43054982的博客
12-26 9376
Django项目中的settings.py里面的django.middleware.csrf.CsrfViewMiddleware中间件,使得Django默认带有csrf验证 通过中间件在cookie中设置了csrf_token,实际上是在session中存储了未加密的csrf_token,并且将生成的sessionID编号存储在cookie中 确定settings.py文件中是否存在djang...
Django中如何写Ajax请求CSRF认证
中国小宝
11-18 2266
最近下雨没有去学车,无聊在学习django,记录一下。两个内容:Ajaxcsrf。是post请求就要进行csrf验证,get请求则就不需要。如果不清楚csrf_token的使用,就会遇到“django csrf token missing or incorrect”的错误。 一、Ajax请求 1.1 GET请求Ajax 路由url.py配置: ## Django ur...
Forbidden (CSRF token missing or incorrect.)
yxh8888888的博客
06-18 2947
django_Forbidden (CSRF token missing or incorrect.)
django前后端分离csrf验证的解决方法
HYESC的博客
06-07 8028
django前后端分离csrf的解决方法 第一种方式ensure_csrf_cookie 这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此时这个渲染模板的视图函数上要加上这个装饰器 这种方式保证了模板返回时,前端接收到的响应中有csrftoken这个cookie,方法见代码。 以上方法并没有严...
Django(七)Ajax请求csrf验证
youand_me的博客
12-29 4397
前言 在web应用中都比较熟悉ajax请求,当然在Django中也可以通过ajax请求数据。有时候我们需要在不刷新的情况载入一些内容,如何用 Django 来实现 不刷新网页的情况下加载一些内容,ajax请求就能发挥作用了。 Ajax请求 get方法 表单 当我们使用form表单时,在第一层demo下的templates中新建一个add.html文件,要使...
SnapScout前端开发:Django框架下的创新实践
在Snap Scout的前端开发中,开发者需要了解Django后端提供的RESTful API接口,以及如何使用JavaScript(或前端框架)通过AJAX(异步JavaScript和XML)请求这些API以获取或发送数据。 知识点六:前端性能优化 Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值