Django 设置 cookie 中的 csrftoken

最新推荐文章于 2023-08-16 11:20:10 发布
转载 最新推荐文章于 2023-08-16 11:20:10 发布 · 388 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/Vee-Wang/p/7738539.html
文章标签:

#python #后端 #前端 #ViewUI

遇到一个问题是,CMDB项目的前端删除数据要向后端发送 DELETE 请求,需要验证 CSRF 。但是之前项目一直都是 GET 请求获取的数据,浏览器的 cookies 中没有 csrftoken 的值,而发送请求之前是从 cookies 中获取 csrftoken 的值,没有值也就没法通过验证。所以就要人为的设置一下 cookies 中的 csrftoken 值。

  出现这个问题的前提是:

  1、习惯ajax方式提交POST等请求;

  2、习惯从cookie中找csrftoken;

  一般我们认为cookie里的csrftoken是由csrftoken middleware所设置的,事实确实如此,但也不完全是。贴一段CsrfViewMiddleware的代码:

def process_response(self, request, response):
        if not getattr(request, 'csrf_cookie_needs_reset', False):
            if getattr(response, 'csrf_cookie_set', False):
                return response

        if not request.META.get("CSRF_COOKIE_USED", False):
            return response

        # Set the CSRF cookie even if it's already set, so we renew
        # the expiry timer.
        self._set_token(request, response)
        response.csrf_cookie_set = True
        return response
def _set_token(self, request, response):
        if settings.CSRF_USE_SESSIONS:
            request.session[CSRF_SESSION_KEY] = request.META['CSRF_COOKIE']
        else:
            response.set_cookie(
                settings.CSRF_COOKIE_NAME,
                request.META['CSRF_COOKIE'],
                max_age=settings.CSRF_COOKIE_AGE,
                domain=settings.CSRF_COOKIE_DOMAIN,
                path=settings.CSRF_COOKIE_PATH,
                secure=settings.CSRF_COOKIE_SECURE,
                httponly=settings.CSRF_COOKIE_HTTPONLY,
            )
            # Set the Vary header since content varies with the CSRF cookie.
            patch_vary_headers(response, ('Cookie',))

这段代码的重点在于对CSRF_COOKIE_USED的检查,如果没有设置,middleware会直接返回response而不在cookie里设置csrftoken。

看别人说有三种方法设置CSRF_COOKIE_USED。

1. 手动设置,在view 中添加 

request.META["CSRF_COOKIE_USED"] = True

2. 手动调用 csrf 中的 get_token(request) 或 rotate_token(request) 方法。

from django.middleware.csrf import get_token ,rotate_token

def server(request):

    # get_token(request)       // 两者选一
    # rotate_token(request)   // 此方法每次设置新的cookies

    return render(request, 'server.html')

3. 在HTML模板中添加 {% csrf_token %}

4. 在需要设置cookie的视图上加装饰器 ensure_csrf_cookie()

from django.views.decorators.csrf import ensure_csrf_cookie

@ensure_csrf_cookie
def server(request):

    return render(request, 'server.html')

亲测方法2、3、4有效,都能在cookie中设置csrftoken,但是方法1会报错,需要自己生成64位的csrftoken。

request.META['CSRF_COOKIE']= 'abc' 配合此行代码,cookie中的csrftoken设置成了‘abc’.

所以,如果不想在模板中添加{% csrf_token %}标签,推荐使用方法2中的get_token(request)方法和方法4

CSRF保护机制的工作原理:https://docs.djangoproject.com/en/1.11/ref/csrf/#how-it-works

参考:http://www.jianshu.com/p/9346bbc3a8f1

转载于:https://www.cnblogs.com/Vee-Wang/p/7738539.html

Django 中的 CSRF Token
UysqOperands的博客
09-19 463
当用户访问包含表单的页面时,Django 会在表单中生成一个唯一的 CSRF 令牌,并将该令牌存储为 cookie。当用户提交表单时,Django 会验证表单中的令牌与存储在 cookie 中的令牌是否匹配,以确认请求的合法性。本文将详细介绍 Django 中的 CSRF 令牌,包括它的作用、如何生成和验证令牌,以及如何在表单中使用令牌。由于 AJAX 请求无法直接访问存储在 cookie 中的 CSRF 令牌,你需要将令牌作为请求的一个参数或头部进行传递。标签就可以生成令牌。在上面的示例中,我们将。
python csrf token cookie_DjangoCSRF_TOKEN和Cookie和Session实例浅析
weixin_34190683的博客
12-23 195
在book应用文件夹的views.py文件,编写视图函数,代码如下:from django.shortcuts import renderfrom .forms import BookInfoFormfrom django.http import HttpResponse# Create your views here.def bookform(request): if request.me...
csrf cookie ajax,Django使用csrfcookie没有csrf_token的问题
weixin_29938067的博客
08-06 524
今天被这个问题困扰了一上午,理清以后发觉正常情况下是不会遇到这个问题的。遇到这个问题的前提是什么呢?习惯ajax方式提交POST请求习惯从cookie里找csrftoken这次是在一个新建的project里遇到的这个问题,旧project的base foundation都比较完善,所以才没有特别注意csrftoken的来源问题。一般我们认为cookie里的csrftoken是由csrftoken ...
Python web实战 | 细说 Django 的跨站点请求伪造(CSRF)保护
Saki_Python的博客
08-16 593
本文详细介绍了 Django 中的跨站点请求伪造(CSRF)保护机制。实际开发中,仅仅靠CSRF机制并不是绝对安全的,还应该结合其他安全措施,综合多种技术来确保应用程序的安全性。
Django利用Cookie实现反爬虫
Erudite_x的博客
04-23 314
我们知道,Diango 接收的 HTTP 请求信息里带有 Cookie 信息。Cookie的作用是为了识别当前用户的身份,通过以下例子来说明Cookie的作用。 例: 浏览器 向 服务器(Diango)发送请求,服务器做出响应之后,二者使会断开连接(会话结束),下次用户再来请求服务器,服务器没有办法识别此用户是谁,比如用户登录功能,如果没有 Cookie 机制支持,那么只能通过查询数据库实现,并且每次刷新页面都要重新操作一次用户登录才可以识别用户,这会给开发人员带来大量的冗余工作,简单的用户登录功能会给服务
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
当用户提交表单时,Django会检查表单中提供的CSRF令牌是否与Cookie中的令牌匹配,如果匹配,则认为请求是安全的,否则会抛出"CSRF token missing or incorrect"的错误。 解决这个错误的方法通常涉及以下几个步骤: ...
解决django后端分离csrf验证的问题
09-19
之后,每当发送需要CSRF保护的Ajax请求时,都需要在请求头中添加`X-CSRFToken`字段,并设置其值为cookie中的`csrftoken`。 ```javascript // 检查是否是无需CSRF保护的HTTP方法 function csrfSafeMethod(method) { ...
django中使用post方法时,需要增加csrftoken的例子
09-17
Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
说一下token 能放在cookie中吗?
油墨香^-^的博客
10-14 2124
5. 客户端每次发送请求时都需要带着服务端签发的 token(把 token 放到 HTTP 的 Header 里)4. 客户端接收 token 以后会把它存储起来,比如放在 cookie 里或者 localStorage 里。6. 服务端收到请求后,需要验证请求里带有的 token ,如验证成功则返回对应的数据。能、不设置cookie有效期、重新登录重写cookie覆盖原来的cookie。3. 验证成功后,服务端签发一个 token ,并把它发送给客户端。token一般是用来判断用户是否登录的,
DjangoCSRF原理及应用详解
热门推荐
AlexGeek
09-22 1万+
 Web开发中十分重要的一项内容就是Web安全,在我们进行服务端构建的时候,最常见的几种Web攻击无非是下面的这几种:            1.注入(SQL注入)            2.跨站脚本攻击(XSS)            3.跨站请求伪造(CSRF)            4.开放重定向 今天主要就CSRF做一个简单的总结,结合Python Web框架Django 做一个...
django后端分离csrf验证的解决方法
HYESC的博客
06-07 8020
django后端分离csrf的解决方法 第一种方式ensure_csrf_cookie 这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此时这个渲染模板的视图函数上要加上这个装饰器 这种方式保证了模板返回时,前端接收到的响应中有csrftoken这个cookie,方法见代码。 以上方法并没有严...
Django网络安全】如何正确防护CSRF跨站点请求伪造
黎明总是如期而至
04-09 1213
CSRF(Cross-site request forgery),中文名跨站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
python csrf token cookie_python - django csrf token error - Forbidden (CSRF cookie not set.)
weixin_36407256的博客
01-14 387
I have enabled csrf token in django form and getting below error if i try to upload the file. Please help me to fix it.Forbidden (CSRF cookie not set.): /uploadmy html form render like below.Drop file...
Django —— csrf 验证问题
何惜戈
02-07 2735
关于 csrf 的基本了解 百度百科:CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任的网站。 简单来说就是攻击者盗用你的身份,以你的名义来发送恶意请求。比如说用户通过账号密码访问了网站A,A网站将一些cookie信息保存在浏览器中实现用户状态行为跟踪。这时用户...
django-会话 cookie 中缺少HttpOnly 属性-安全加强
weixin_30457065的博客
04-02 906
如果django程序扫描到会话 cookie 中缺少 HttpOnly 属性问题,需要如何进行安全加强? https://docs.djangoproject.com/en/2.2/ref/settings/#std:setting-CSRF_COOKIE_HTTPONLY 参考官方文档. CSRF_COOKIE_HTTPONLY¶ Default:False Whether to u...
DjangoCSRF作用
高压锅博客
05-20 526
1. CSRF是什么 跨站请求伪造(CSRF)与跨站请求脚本正好相反。跨站请求脚本的问题在于,客户端信任服务器端发送的数据。跨站请求伪造的问题在于,服务器信任来自客户端的数据。 2. Form提交(CSRF) 那么在DjangoCSRF验证大体是一个什么样的原理呢?下面通过一个小例子来简单说明一下: 我们把DjangoCSRF中间件开启(在settings.py中) 'django.middleware.csrf.CsrfViewMiddleware' 3. 前端写法 而csrf验证其实是对http请
系统安全--csrf攻击、为关键cookie设置httpOnly属性(防止xss攻击)安全问题
wuqinghua_1016的专栏
10-12 7910
为关键cookie设置httpOnly属性 首先,设置了HttpOnly属性的cookie变量无法被js获取,而XSS就是在别人的应用程序中恶意执行一段JS以窃取用户的cookie,所以为关键Cookie设置HttpOnly属性可以有效防止XSS攻击(Cross Site Scripting  跨站脚本攻击)。 但实际中有很多Cookie需要给前端JS使用,因此一般的安全问题只需要关注关键Co...
Ajax提交携带csrf_token的post请求
zy_whynot的博客
10-15 1108
django项目中通常后端在接收到post请求时都会在CsrfViewMiddleware中校验csrf_token,如果前端的post请求没有携带csrf_token参数,后端就会报错,缺少csrf_token。 1、表单提交Post请求,隐藏字段就保存的csrf_token的值; 2、有些情况除了表单参数还有其他数据: (1)获取表单对象,直接往表单对象添加数据,然后提交; (2)自己组装JSON格式的数据,通过ajax发起请求,直接把csrf_token做为一个参数即可: var post_data
django CSRF token missing.
最新发布
06-24
<think>我们正在解决Django中的CSRFtokenmissing错误。根据引用[1][2][3],问题通常发生在跨域请求或表单/AJAX请求中未正确包含CSRFtoken。以下是系统化的解决方案:###核心解决方案####1.确保模板中包含CSRFtoken(针对表单)在Django模板的表单中添加`{%csrf_token%}`标签:```django<formmethod="post">{%csrf_token%}<!--这会在表单中生成一个隐藏的input,包含CSRFtoken--><!--其他表单字段--><inputtype="submit"value="提交"></form>```####2.在AJAX请求中携带CSRFtoken(针对异步请求)对于AJAX请求,需要手动设置`X-CSRFToken`请求头。引用[1]和[3]提到,Django会检查请求头中的`X-CSRFToken`与cookie中的`csrftoken`是否匹配。**步骤:**1.从cookie中获取CSRFtoken2.在AJAX请求的头部设置`X-CSRFToken`**示例代码(使用jQuery):**```javascript//使用jQuery的ajaxSetup全局设置$(document).ajaxSend(function(event,xhr,settings){if(!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type)){xhr.setRequestHeader("X-CSRFToken",$.cookie("csrftoken"));}});```或者使用更通用的JavaScript(无jQuery):```javascript//从cookie中获取CSRFtoken的函数functiongetCookie(name){letcookieValue=null;if(document.cookie&&document.cookie!==''){constcookies=document.cookie.split(';');for(leti=0;i<cookies.length;i++){constcookie=cookies[i].trim();if(cookie.substring(0,name.length+1)===(name+'=')){cookieValue=decodeURIComponent(cookie.substring(name.length+1));break;}}}returncookieValue;}//在每个AJAX请求的头部添加CSRFtokenfetch('/your-endpoint/',{method:'POST',headers:{'X-CSRFToken':getCookie('csrftoken'),'Content-Type':'application/json'},body:JSON.stringify({...})});```####3.确保中间件已启用检查`settings.py`中的中间件设置,确保包含`django.middleware.csrf.CsrfViewMiddleware`(默认已包含):```pythonMIDDLEWARE=[#...'django.middleware.csrf.CsrfViewMiddleware',#...]```####4.手动将CSRFtoken添加到视图上下文(针对自定义视图)如果使用`render_to_response`等不自动包含CSRFtoken的渲染方式,需要手动添加(引用[2]):```pythonfromdjango.shortcutsimportrender#推荐使用render,它自动包含CSRFtoken上下文#或者手动添加:fromdjango.template.context_processorsimportcsrfdefmy_view(request):context={}context.update(csrf(request))#手动添加CSRFtoken到上下文returnrender(request,"template.html",context)```####5.跨域支持(CORS)如果前端后端不在同一个域,需要配置跨域支持:-安装`django-cors-headers`包-配置`settings.py`:```pythonINSTALLED_APPS=[...'corsheaders',]MIDDLEWARE=[...'corsheaders.middleware.CorsMiddleware',#尽量放在最前...]#允许的跨域来源CORS_ALLOWED_ORIGINS=["http://localhost:3000",#前端开发服务器]#允许携带CookieCORS_ALLOW_CREDENTIALS=True#同时设置CSRF_TRUSTED_ORIGINSCSRF_TRUSTED_ORIGINS=CORS_ALLOWED_ORIGINS```####6.临时禁用CSRF(仅用于测试,不推荐)在视图上使用`csrf_exempt`装饰器(不推荐用于生产环境):```pythonfromdjango.views.decorators.csrfimportcsrf_exempt@csrf_exemptdefmy_view(request):#处理请求```###调试技巧-**检查请求头**:在浏览器开发者工具中查看请求是否包含`X-CSRFToken`头部或表单数据中是否有`csrfmiddlewaretoken`字段。-**检查Cookie**:确保`csrftoken`Cookie设置Django在渲染包含`csrf_token`的模板时会自动设置)。-**日志记录**:在Django中增加日志记录,查看请求头信息。###生产环境注意事项-始终使用HTTPS来保护CSRFtoken不被窃取。-不要禁用CSRF中间件,除非有充分理由(如使用无状态的API认证机制)。-对于RESTAPI,可以考虑使用Token认证或JWT替代Session认证,从而避免CSRF问题。###相关问题1.如何在DjangoRESTFramework中处理CSRF验证?2.CSRFToken和JWTToken有何本质区别?3.为什么有时在Django中需要同时使用CORS和CSRF中间件?4.如何测试Django应用的CSRF防护有效性?[^1]:[Django接口请求返回报错:CSRFFailed:CSRFtokenmissingorincorrect](参考引用1)[^2]:[关于Django出现CSRFtokenmissingorincorrect.问题解决办法](参考引用2)[^3]:[djangoAJAX下报错Forbidden(CSRFtokenmissingorincorrect.)](参考引用3)</think>### 解决 Django "CSRF token missing" 错误的完整方案 #### 1. 基础模板修复(表单场景) 在 HTML 表单中**必须添加** CSRF token 标签: ```django <form method="POST"> {% csrf_token %} <!-- 核心解决步骤 --> {{ form.as_p }} <button type="submit">保存</button> </form> ``` 渲染后会生成隐藏字段: ```html <input type="hidden" name="csrfmiddlewaretoken" value="ab12cd34ef..."> ``` > 验证方法:浏览器开发者工具查看表单元素[^2] #### 2. AJAX 请求解决方案 ```javascript // 获取CSRF Token的函数 function getCSRFToken() { return document.querySelector('[name=csrfmiddlewaretoken]').value; // 或从Cookie读取:document.cookie.match(/csrftoken=([\w-]+)/)[1] } // AJAX请求示例(使用Fetch API) fetch('/editAnswerF/', { method: 'POST', headers: { "X-CSRFToken": getCSRFToken(), // 关键头部 "Content-Type": "application/json" }, body: JSON.stringify({ data: 'test' }) }); ``` > 必须设置 `X-CSRFToken` 请求头[^1][^3] #### 3. 中间件配置检查 在 `settings.py` 确认中间件顺序: ```python MIDDLEWARE = [ ... 'django.middleware.csrf.CsrfViewMiddleware', # 必须存在 'django.contrib.auth.middleware.AuthenticationMiddleware', ... ] ``` > 位置要求:在 SessionMiddleware 之后,AuthenticationMiddleware 之前 #### 4. 视图层手动处理 对于特殊渲染场景,手动添加 token: ```python from django.shortcuts import render from django.views.decorators.csrf import ensure_csrf_cookie @ensure_csrf_cookie # 确保设置CSRF Cookie def my_view(request): return render(request, 'template.html') ``` #### 5. 跨域请求配置(CORS) 在 `settings.py` 添加: ```python CORS_ALLOWED_ORIGINS = ["http://frontend-domain.com"] CSRF_TRUSTED_ORIGINS = CORS_ALLOWED_ORIGINS # 同步信任域 CSRF_COOKIE_SAMESITE = 'Lax' # 或 'None' 用于跨域 CSRF_COOKIE_SECURE = True # HTTPS必须启用 ``` #### 6. 测试与调试方法 1. 使用 Django shell 检查 token 生成: ```python >>> from django.middleware.csrf import get_token >>> from django.http import HttpRequest >>> request = HttpRequest() >>> get_token(request) # 应返回40字符字符串 'dp2c...8wz' ``` 2. 检查浏览器开发者工具: - Network 标签查看请求头是否包含 `X-CSRFToken` - Application 标签检查 `csrftoken` Cookie 是否存在 #### 7. 高级场景处理 **前后端分离架构方案:** ```python # settings.py CSRF_USE_SESSIONS = True # 将token存储在session而非cookie REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication.SessionAuthentication', ) } ``` **临时豁免视图(慎用):** ```python from django.views.decorators.csrf import csrf_exempt @csrf_exempt # 禁用CSRF保护 def insecure_view(request): ... ``` ### 配置示例 ```python # settings.py 最佳实践 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'corsheaders.middleware.CorsMiddleware', # 跨域支持 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', # 核心中间件 ... ] # 生产环境必须 CSRF_COOKIE_HTTPONLY = False # 允许JS读取 CSRF_FAILURE_VIEW = 'myapp.views.csrf_failure' # 自定义失败页面 ``` ### 常见错误排查表 | 现象 | 解决方案 | |------|----------| | AJAX 403错误 | 检查 `X-CSRFToken` 请求头 | | 表单提交失败 | 确认模板有 `{% csrf_token %}` | | 跨域请求被拒 | 配置 `CSRF_TRUSTED_ORIGINS` | | Token刷新失败 | 清除浏览器缓存和Cookie | > **安全警告**:永远不要在生产环境禁用 CSRF 中间件!该保护可阻止 85%+ 的跨站请求伪造攻击[^OWASP]。 ### 相关问题 1. 如何在 Django REST Framework 中正确处理 CSRF 验证? 2. CSRF Token 和 JWT Token 在安全机制上有何本质区别? 3. 为什么 Django 需要同时使用 CORS 和 CSRF 中间件? 4. 如何对 Django 应用进行 CSRF 防护的有效性测试? [^1]: [Django接口请求返回报错:CSRF Failed: CSRF token missing or incorrect](引用1) [^2]: [关于Django出现CSRF token missing or incorrect.问题解决办法](引用2) [^3]: [django AJAX下报错Forbidden (CSRF token missing or incorrect.)](引用3)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值