django 解决ajax 请求csrf跨域问题,解决403 forbidden

最新推荐文章于 2023-12-20 16:50:24 发布
原创 最新推荐文章于 2023-12-20 16:50:24 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了解决Django项目中因CsrfViewMiddleware导致的403跨域错误的方法。通过使用JavaScript获取csrftoken,并在AJAX POST请求中加入csrfmiddlewaretoken键值对,实现跨域请求的正确处理。

现象: 请求403 ,提示跨域

原因:

项目setting.py 中installed app 里面有

'django.middleware.csrf.CsrfViewMiddleware',

###解决过程:查看请求发现 cookie 有csrftoken
所以利用js 获取csrftoken

核心语句   document.cookie()会返回所有的cookie 
cookie 的结构如下: name1=value1;name2=value2
所以遍历每一项cookie 找到csrftoken的value

具体代码:

function getCookie(name) {
                var cookieValue = null;
                if (document.cookie && document.cookie != '') {
                var cookies = document.cookie.split(';');
                for (var i = 0; i < cookies.length; i++) {
                    var cookie = jQuery.trim(cookies[i]);
                    // Does this cookie string begin with the name we want?
                    if (cookie.substring(0, name.length + 1) == (name + '=')) {
                        cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                        break;
                     }
                    }
                 }
             return cookieValue;
            }

最后在ajax post 中传入一个key为csrfmiddlewaretoken

$.ajax({
	type:"POST",
	data:{"csrfmiddlewaretoken": csrftoken_value, key2:value2}
})
django接口问题解决
qq_43675961的博客
06-26 1213
django问题解决
Django框架之csrf请求
qq_53842456的博客
11-24 1758
csrf校验是一种用于防止请求伪造(Cross-Site Request Forgery)攻击的安全措施。
vue前端处理问题403解决
m0_66039084的博客
06-15 1556
配置的onProxyReq把我的403问题解决掉了。
Djangoajax发送post请求403错误CSRF验证失败解决方案
12-31
前言 今天学习Django框架,用ajax向后台发送post请求,直接报了403错误,说CSRF验证失败;先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF问题了;很显然,用ajax发送post请求这样就白搭了; 文末已经更新更简单的方法,上面的略显麻烦 上网上查了一下,看了几个别人的博客,才知道官网也早有说明解决办法,大致流程就是: 就是新建一个JavaScript文件,然后把网上给的代码粘贴进去,然后在你使用ajax的页面把它引入一下;当然,如果你在网上找到的解决代码包含JQuery的话,那就需要在引入的JQuery之后引入了(毕竟解决代码不唯一,网
解决Spring Cloud Gateway 请求问题403 Forbidden
weixin_46173188的博客
12-20 1656
不允许有多个 'Access-Control-Allow-Origin' CORS 头。
403 Forbidden
飞越蓝天的专栏
11-04 1612
403 Forbidden 是HTTP协议中的一个状态码(Status Code)。可以简单的理解为没有权限访问此站。
django中使用ajax 请求post时出现403 错误(接口测试post请求时也会出现403
qq_34309753的博客
04-03 558
错误的处理方式为: 1.修改django的 setting.py中的 MIDDLEWARE参数,将参数中的'django.middleware.csrf.CsrfViewMiddleware', 删除 2.在views.py中该方法增加 @csrf_exempt 标签 此解决方案参考https://blog.youkuaiyun.com/yang420097009/article/d...
ajax get请求 403错误,ajax GET请求出现403禁止错误
weixin_30930625的博客
08-05 1801
403 forbidden每当我尝试GET从数据库中获取用户信息时,都会收到-error 消息。关于下面的代码,每当我尝试通过按Ajax测试按钮尝试请求时,它都无法运行并给我发出警报,但是在控制台中也给我一个403 Forbidden-error。我不确定是否与Spring安全性有关?用户JSP页面:User IdFull NameUsernameEmailDate of BirthUser Au...
Django请求CSRF的方法示例
09-19
Django框架在处理请求(Cross-Origin Resource Sharing, CORS)时,面临CSRF(Cross-Site Request Forgery,请求伪造)的安全风险。本文将探讨Django如何安全地实现请求同时防范CSRF攻击,并提供相关的...
vue-resource post数据时碰到Django csrf问题解决
10-15
本知识点将详细介绍如何解决在使用vue-resource发起POST请求时遇到的Django CSRF验证问题。 ### Django CSRF保护机制 Django框架内置了CSRF保护机制,该机制可以有效防止请求伪造攻击。在Django中,CSRF保护...
Django
weixin_33979363的博客
01-08 327
1.pip install : django-cors-headers 2.settings:INSTALLED_APPS = [ ... 'corsheaders', ... ] MIDDLEWARE_CLASSES = ( ... 'corsheaders.middleware.CorsMiddleware', 'django.midd...
403forbidden java后端处理
fghag888的博客
05-08 2720
出现403forbidden ,出现这个问题,一般都是权限问题,不让访问本地访问测试接口时,发现GET,POST,UPDATE,OPTIONS,DELETE,PUT都是可以正常。当vue生成production版,上传到远程服务器,却发现只有GET方法可以访问,POST,PUT,所有跟修改有关系的,接口都不能访问了。那么问题出现在一下几个方面。
Django app接口url报错Forbidden (CSRF cookie not set.)
热门推荐
小洋人最happy的专栏
08-23 1万+
这是因为Django对表单post请求做的安全性验证,在app开发中,可以干掉这一项,具体操作如下:修改settings.py文件,注释掉 django.middleware.csrf.CsrfViewMiddleware'MIDDLEWARE_CLASSES = [ 'django.middleware.security.SecurityMiddleware', 'django.c
为什么只有chrome通过iframe后会出现403Forbidden
Japeng_的博客
11-18 4549
这个错误困扰了我一天,在面向百度的过程中并没有及时的找到解决方法。 1.通过Firefox浏览器没有报错 2.通过360浏览器(极速)没有报错 3.通过edge浏览器没有报错 我们首先了解一下403Forbidden这个问题403 forbidden是什么意思? 403 Forbidden是HTTP协议中的一个状态码(Status Code)。可以简单的理解为没有权限访问此站。该状态表示服务器理解了本次请求但是拒绝执行该任务,该请求不该重发给服务器。在HTTP请求的方法不是“HEAD”,并且服务器想让
ajax一直403,php - JQuery AJAX 403 Forbidden - Stack Overflow
weixin_39757169的博客
08-05 349
I've created a log-in page that uses PHP and JQuery. The problem is, I'm encountering a 403 Forbidden error every time JQuery $.ajax tries to access the user_login.php file.Below are my current codes:...
CodeIgniter4.0+ajax post 403 Forbidden解决办法
shihongming的博客
05-20 378
CodeIgniter4.0+ajax post 403 Forbidden解决办法
ajax post forbidden,POST方法总是返回403 Forbidden
weixin_34870633的博客
08-06 630
我读过Django - CSRF验证失败,以及与django和POST方法相关的几个问题(和答案).其中一个最好但不能正常工作的答案是/sf/ask/17360801/所有批准的答案都表明至少有三件事:使用RequestContext作为render_to_response_call的第三个参数使用POST方法在每个表单中添加{%csrf_token%}检查settings.py中的MIDDL...
Django中使用ajax post向后台传送数据时403 Forbidden (CSRF token missing or incorrect.):的解决办法
误入歧途渐行渐远
04-23 592
表格后面还有一个{% csrf_token %}的标签。csrf 全称是 Cross Site Request Forgery。这是Django提供的防止伪装提交请求的功能。POST 方法提交的表格,必须有此标签。 Forbidden (CSRF token missing or incorrect.): /upapi/ 解决方法,最后一个是最为有效的,前几个不能一劳永逸。 $(docume...
django Forbidden (CSRF token missing.): /editAnswerF
最新发布
06-24
<think>我们正在解决Django中由于CSRFtoken缺失导致的Forbidden(403)错误。用户之前的问题是关于静态文件标签库的,但当前问题已经转向CSRFtoken缺失问题。根据Django官方文档,当POST请求中缺少CSRFtoken时,会引发CSRF验证失败,返回403Forbidden错误。解决方案步骤:1.确保在模板的表单中包含{%csrf_token%}标签。2.检查Django中间件配置,确保'django.middleware.csrf.CsrfViewMiddleware'已启用。3.对于AJAX请求,需要手动添加CSRFtoken到请求头中。4.如果使用基于类的视图,确保使用@method_decorator(csrf_exempt)(如果需要豁免)或正确处理。我们将逐步解释这些解决方案。</think>### 解决DjangoCSRF Token缺失导致的Forbidden错误 当Django返回**"CSRF token missing or incorrect. Forbidden (403)"**错误时,表明服务器未能验证请求来源的安全性。以下是系统化的解决方案: --- #### 核心原因分析 1. **表单缺少CSRF Token** 提交表单时未包含`{% csrf_token %}`标签 2. **中间件未启用** `CsrfViewMiddleware`未在中间件配置中激活 3. **AJAX请求未携带Token** JavaScript请求未正确设置CSRF Token头部 4. **Cookie不匹配** 请求时Cookie与当前不一致 --- #### 解决方案步骤 ##### 1. 基础修复:确保模板包含CSRF Token 在**所有HTML表单**中添加Token标签: ```django <form method="post"> {% csrf_token %} <!-- 必须添加此行 --> <!-- 其他表单字段 --> <input type="submit" value="Submit"> </form> ``` > 验证方法:查看页面源代码,确认存在`<input type="hidden" name="csrfmiddlewaretoken" value="...">` ##### 2. 检查中间件配置 在`settings.py`中确认中间件链包含: ```python MIDDLEWARE = [ ... 'django.middleware.csrf.CsrfViewMiddleware', # 必须存在 ... ] ``` > 位置要求:需在`SessionMiddleware`之后,`AuthenticationMiddleware`之前[^1] ##### 3. 处理AJAX请求(JavaScript方案) 使用以下代码为所有AJAX请求添加CSRF Token: ```javascript // 使用jQuery示例 $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type)) { xhr.setRequestHeader("X-CSRFToken", getCookie("csrftoken")); } } }); function getCookie(name) { let cookieValue = null; if (document.cookie && document.cookie !== '') { const cookies = document.cookie.split(';'); for (let i = 0; i < cookies.length; i++) { const cookie = cookies[i].trim(); if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } ``` ##### 4. 解决问题(CORS配置) 在`settings.py`中添加: ```python CORS_ALLOWED_ORIGINS = [ "http://localhost:3000", # 前端开发地址 "https://your-production-domain.com", ] CSRF_TRUSTED_ORIGINS = CORS_ALLOWED_ORIGINS # 同步信任源 SESSION_COOKIE_SAMESITE = 'None' # Cookie SESSION_COOKIE_SECURE = True # 仅HTTPS ``` ##### 5. 豁免特定视图(谨慎使用) 在视图上添加豁免装饰器: ```python from django.views.decorators.csrf import csrf_exempt @csrf_exempt # ⚠️ 仅用于测试或内部API def my_view(request): ... ``` --- #### 调试流程 1. **检查请求头** 使用浏览器开发者工具,查看请求是否包含: - `Cookie: csrftoken=...` - `X-CSRFToken: ...` (AJAX请求) 2. **验证中间件顺序** 运行检查命令: ```bash python manage.py check --deploy --fail-level WARNING ``` 3. **测试CSRF保护状态** 在Django shell中验证: ```python from django.middleware.csrf import get_token request = HttpRequest() print(get_token(request)) # 应输出有效token ``` --- #### 完整配置示例 ```python # settings.py MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', # 关键位置 'django.contrib.auth.middleware.AuthenticationMiddleware', ... ] CORS_EXPOSE_HEADERS = ['Content-Type', 'X-CSRFToken'] CSRF_COOKIE_HTTPONLY = False # 允许JS读取Cookie ``` ```html <!-- 模板文件 --> <script> const csrftoken = document.querySelector('[name=csrfmiddlewaretoken]').value; // 用于AJAX请求头 </script> ``` --- #### 生产环境注意事项 1. 确保`DEBUG = False`时仍能正确处理静态文件 2. 使用HTTPS协议传输CSRF Token 3. 定期轮换`SECRET_KEY`增强安全性 4. 对公开API使用Token认证替代CSRF > 官方建议:CSRF保护应始终启用,仅对无需状态保持的API豁免[^2] --- ### 相关问题 1. 如何在Django REST Framework中处理CSRF验证? 2. CSRF Token和JWT Token有何本质区别? 3. 为什么有时在Django中需要同时使用CORS和CSRF中间件? 4. 如何测试Django应用的CSRF防护有效性? [^1]: Django官方中间件文档 - CSRF保护机制 [^2]: OWASP安全指南 - CSRF防护最佳实践
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值