csrf cookie ajax,Django使用csrf时cookie没有csrf_token的问题

最新推荐文章于 2023-03-05 19:00:00 发布
最新推荐文章于 2023-03-05 19:00:00 发布
阅读量521 收藏
点赞数
文章标签: csrf cookie ajax
本文详细探讨了Django中CSRF_TOKEN的设置与使用流程,包括 CsrfViewMiddleware 的工作原理,以及如何通过HTML模板、手动设置或AJAX提交确保CSRFTOKEN的有效性。重点解释了{% csrf_token %}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天被这个问题困扰了一上午,理清以后发觉正常情况下是不会遇到这个问题的。

遇到这个问题的前提是什么呢?

习惯ajax方式提交POST请求

习惯从cookie里找csrftoken

这次是在一个新建的project里遇到的这个问题,旧project的base foundation都比较完善,所以才没有特别注意csrftoken的来源问题。

一般我们认为cookie里的csrftoken是由csrftoken middleware所设置的,事实确实如此,但也不完全是。贴一段CsrfViewMiddleware的代码:

def process_response(self, request, response):

if getattr(response, 'csrf_processing_done', False):

return response

# If CSRF_COOKIE is unset, then CsrfViewMiddleware.process_view was

# never called, probably because a request middleware returned a response

# (for example, contrib.auth redirecting to a login page).

if request.META.get("CSRF_COOKIE") is None:

return response

# 重点在这里

if not request.META.get("CSRF_COOKIE_USED", False):

return response

# Set the CSRF cookie even if it's already set, so we renew

# the expiry timer.

response.set_cookie(settings.CSRF_COOKIE_NAME,

request.META["CSRF_COOKIE"],

max_age=settings.CSRF_COOKIE_AGE,

domain=settings.CSRF_COOKIE_DOMAIN,

path=settings.CSRF_COOKIE_PATH,

secure=settings.CSRF_COOKIE_SECURE,

httponly=settings.CSRF_COOKIE_HTTPONLY

)

# Content varies with the CSRF cookie, so set the Vary header.

patch_vary_headers(response, ('Cookie',))

response.csrf_processing_done = True

return response

这段代码的重点在于对CSRF_COOKIE_USED的检查,如果没有设置,middleware会直接返回response而不在cookie里设置csrftoken。

而CSRF_COOKIE_USED是在哪设置的呢?有几种途径:

手动设置。在你的view里添加request.META["CSRF_COOKIE_USED"] = True

手动调用csrf middleware的get_token(request)或rotate_token(request)方法

在你的html模板里添加 {% csrf_token %}

我今天的问题就在于第三种途径。旧project里是有添加的,而新project里没有,所以导致了我的问题。

官方文档建议在每一个form里都添加这样的标签,这样能够在提交表单时自动将csrftoken添加进请求里。

对于ajax post文档也指出从cookie拿会比较方便。

那这个标签具体做了什么呢?

使用这个标签会让django模板引擎在这里插入一个隐藏的input用来存放csrftoken。在django.template.defaulttags里我们可以找到一个叫CsrfTokenNode的类,它的render方法检查了context里的csrf_token。

def render(self, context):

csrf_token = context.get('csrf_token', None)

if csrf_token:

if csrf_token == 'NOTPROVIDED':

return format_html("")

else:

return format_html("", csrf_token)

else:

...

context中的csrf_token是一个django.template.context_processors.csrf的实例,他本身就等同于自己的_get_val(),只不过是在每次用到自己的时候才调用该方法获得返回值。(这部分也是值得一写的内容)

所以可以看到在上面的render方法中的第二行,有一次对csrf_token的判断,正是在这里调用了_get_val,在_get_val中调用了get_token,get_token会从request里取CSRF_COOKIE,CSRF_COOKIE又是由middleware在process_view中提供的,所以最终会让CsrfViewMiddleware在process_response里把csrftoken添加进cookie里,也就可以在前端拿到cookie了。

总结一下,这之间发生的事情就是:

html文件添加{% csrf_token %}标签

CsrfViewMiddleware在process_view时向request添加CSRF_COOKIE

渲染模板检测到该标签,在渲染时添加CsrfTokenNode类

CsrfTokenNode的渲染方法检查csrf_token

对csrf_token进行判断时调用get_token

get_token检查request中的CSRF_COOKIE,并设置CSRF_COOKIE_USED为True

CsrfViewMiddleware在process_response设置cookie中的csrftoken

这样前端就能看到cookie了。

以上就是对这个问题的解决办法的记录。

赵崇慧
关注
详解DjangoCSRF认证
钉子
09-24 432
1.csrf原理 csrf要求发送post,put或delete请求的候,是先以get方式发送请求,服务端响应会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求携带上次分配的随机字符串到服务端进行校验 2.Django中的CSRF中间件 首先,我们知道Django中间件作用于整个项目。 在一个项目中,如果想对全局所有视图函数或视图类起作用,就可以在...
Django:Ajaxcsrf_token
HR_tigerking的博客
12-20 1050
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局...
cookie没有csfrtoken的解决办法
weixin_30657541的博客
11-21 487
https://www.jianshu.com/p/9346bbc3a8f1 http://www.mamicode.com/info-detail-2062660.html 一般我们认为cookie里的csrftoken是由csrftoken middleware所设置的,事实确实如此,但也不完全是。贴一段CsrfViewMiddleware的代码: def process_res...
对于使用Ajaxcookie中找不到csrf_token的解决方法
wuliwawa的博客
04-29 1406
问题是这样的,项目中使用的post请求全部是Ajax形式的,而且也使用了 'django.middleware.csrf.CsrfViewMiddleware', 中间件,但是访问页面却提示找不到csrf_token异常。 解决办法: 在页面任意地方加{% csrf_token %} 原因:CsrfViewMiddleware这个中间件会在页面渲染,检测{% csrf_tok...
Ajax提交携带csrf_token的post请求
zy_whynot的博客
10-15 1108
django项目中通常后端在接收到post请求都会在CsrfViewMiddleware中校验csrf_token,如果前端的post请求没有携带csrf_token参数,后端就会报错,缺少csrf_token。 1、表单提交Post请求,隐藏字段就保存的csrf_token的值; 2、有些情况除了表单参数还有其他数据: (1)获取表单对象,直接往表单对象添加数据,然后提交; (2)自己组装JSON格式的数据,通过ajax发起请求,直接把csrf_token做为一个参数即可: var post_data
Django 设置 cookie 中的 csrftoken
weixin_30699741的博客
10-26 230
遇到一个问题是,CMDB项目的前端删除数据要向后端发送 DELETE 请求,需要验证 CSRF 。但是之前项目一直都是 GET 请求获取的数据,浏览器的 cookies没有 csrftoken 的值,而发送请求之前是从 cookies 中获取 csrftoken 的值,没有值也就没法通过验证。所以就要人为的设置一下 cookies 中的 csrftoken 值。   出现这个问题的前提是: ...
关于django中的csrf_token
weixin_43700349的博客
05-01 1230
什么是csrf_token csrf_tokendjango的一种安全机制,增加验证,是否是通过get请求先访问页面,然后再进行的提交,否则无法直接提交 当以form表单提交django会自动处理csrf_token 但是当使用ajax提交,不会像form表单那样自动处理,必须手动获取 如何避免csrf_token报错 在from表单中加入{% csrf_token %} <form action='{% url 'LOGIN' %}' method="post"> ..
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
django使用post方法,需要增加csrftoken的例子
09-17
Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
Ajax 使用CSRF token与Flask /Django交互
LUV_ly_1314的博客
09-03 420
跨站请求伪造也被称为one-click attack 或者 session riding,通常缩写为CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。目前主流的防御方法就是通过Token验证,另外如果前端对存在CSRF防御的服务进行请求,会出现”400 bad request“。在写程序候会让忽略CSRF问题的人莫名其妙,我就是错了好几次(我以为是我的数据格式的问题),看到了浏览器Console才恍然大悟。
Python自动化运维 - Django(三)CSRF - Cookie&Session
anhuoqiu1787的博客
03-20 329
CSRF跨站请求伪造   CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击...
Django项目学习之CSRF cookie not set.报错
weixin_43129747的博客
03-16 3861
当我们写好某个路由,需要利用post请求发送ajax到后台的候,会发现,报出如下警告。 然后浏览器会有如下错误: 这是因为在post请求,我们没有CsrfToken字段,而在Django项目中,这字段相当于提交数据的令牌,是必须的。如果在开发阶段可以直接把它注释掉,这样就不会报错。 如果项目完成之后,需要开启这个中间件,又该如何解决报错的问题呢。 此又到了我们紧张刺激的看源码候了。...
5 - django-csrf-session&cookie
anhuoqiu1787的博客
03-28 480
目录 1 CSRF跨站请求伪造 1.1 CSRF攻击介绍及防御 1.2 防御CSRF攻击 1.2.1 验证 HTTP Referer 字段 1.2.2 在请求地址中添加 token 并验证 1.2.3 在 HTTP 头中自定义属性并验证 1...
CSRF
jpygx123的博客
10-10 424
同源策略: A网页设置的Cookie,B网页不能打开,除非这个两个网页同源。 三个相同:协议相同、域名相同、端口相同。 三个一块相同才是同源的。 目的:为了保证用户信息的安全,防止恶意的网站窃取数据。 限制范围: 1.cookie、localstorage和indexDB无法读取。 2.Dom无法获得。 3.AJAX请求不能发送。 虽然限制很必要但是有些合理的用途也会受到影响,比如同站点下的不同域...
被问出花了的 CookieCSRF
javagty6778的博客
03-05 445
我们知道 http 是无状态的,也就是说用户登录后进行其他操作服务端无法知道用户是否已登录。有机灵的小伙伴很快想到,把用户登录信息存起来后面的接口都带上不就可以了?但 Cookie 出现前浏览器端还没有本地存储方法,JS 中在强的变量也抵不过浏览器的一次刷新。就这样Cookie\color{red}{ Cookie }Cookie 亮相了。
了解cookie以及cookie跨站点伪造攻击(CSRF)
我的专栏
05-15 3258
背景知识: 很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要纪录谁在某一段间里浏览了什么 文档,每次请求都是一个新的Http协议,就是请求加响应,尤其是我不用记住是谁发了HTTP请求,每个请求对我 来说是全新的,这段间很嗨皮。 但是,随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理回话, 必须记住那些人登录系统,那些人往自己的购物车中放商品,也就是说我必须把每个人区分开,这就是一个不小的挑战, 因为HTTP请求是无状态.
Python——Django 框架——安全
Risk2S的小博客
07-12 1559
官方文档 https://docs.djangoproject.com/en/dev/#security Django提供了多种保护工具和机制; Xss(跨站脚本)保护: 使用Django模板可避免一部分, Django模板会转义 对HTML有危险的特定字符。这样可以保护用户免受多数恶意输入。 CSRF(跨站点请求伪造)保护: Django内置防范大多数类型的CSRF攻击,在适当的情况
CSRF(跨站请求伪造)Cookie的SameSite属性(跨站请求伪造已死)
weixin_50464560的博客
08-10 1610
Cookie 的 SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Cook...
一文带你了解CSRFCookie、Session和token,JWT之间的关系
大河之犬的博客
09-15 1524
所以存在被盗用的风险。比如在银行里转账,银行页面上的转账请求链接,是银行服务器那边生成的链接,所以那边是可以在请求里面就加上你客户端的token的,但是钓鱼网站无法得到你的token,钓鱼网站仿造的转账请求链接是无法把token写入的,所以就无法生效。意思是,客户端打开了钓鱼网站,却在不知情的情况下,发送了一个请求给淘宝,这个请求有可能是转账,付款等等,因为是客户端发出的请求,所以客户端会带上自己的cookie,这样就可以请求成功。基于token的验证是无状态的,这也许是它相对cookie来说最大的优点。
django 怎么解析ensure_csrf_cookie
06-02
Django 中,当用户访问一个包含表单的页面Django 会自动为该用户生成一个 CSRF Token,并将其存储为 Cookie。这个 Token 可以用来防止跨站点请求伪造攻击。然而,有我们需要手动获取这个 Token,这可以...