我试图像这样提交参数:
jQuery.ajax(
{
'type': 'POST',
'url': url,
'contentType': 'application/json',
'data': "{content:'xxx'}",
'dataType': 'json',
'success': rateReviewResult
}
);
然而,Django返回Forbidden 403. CSRF verification failed. Request aborted.我正在使用'django.middleware.csrf.CsrfViewMiddleware',但找不到如何在不牺牲安全性的情况下解决此问题。
你可以通过两种不同的方式进行AJAX post请求:
告诉你的视图不要检查csrf令牌。这可以通过使用装饰器@csrf_exempt来实现,像这样:
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def your_view_name(request):
...
为了在每个 AJAX 请求中嵌入 CSRF 令牌,对于 jQuery 可以这样做:
$(function () {
$.ajaxSetup({
headers: { "X-CSRFToken": getCookie("csrftoken") }
});
});
getCookie函数从cookies中获取csrf令牌。我使用以下实现:
function getCookie(c_name)
{
if (document.cookie.length > 0)
{
c_start = document.cookie.indexOf(c_name + "=");
if (c_start != -1)
{
c_start = c_start + c_name.length + 1;
c_end = document.cookie.indexOf(";", c_start);
if (c_end == -1) c_end = document.cookie.length;
return unescape(document.cookie.substring(c_start,c_end));
}
}
return "";
}
此外,jQuery有一个插件可以访问cookie,类似于这样:
// set cookie
$.cookie('cookiename', 'cookievalue');
// read cookie
var myCookie = $.cookie('cookiename');
// delete cookie
$.cookie('cookiename', null);
X-CSRFToken 而不是 X-CSRF-Token。 - shangxiaocsrf_exempt装饰器可能会带来安全问题,因为中间件保护将被禁用。 - J punto Marcos{{ csrf_token }} ,因此第一个选项解决了我的问题。 - Ghasem我发现最简单的方法是在数据中包含{{csrf_token}}值:
jQuery.ajax(
{
'type': 'POST',
'url': url,
'contentType': 'application/json',
'data': {
'content': 'xxx',
'csrfmiddlewaretoken': '{{ csrf_token }}',
},
'dataType': 'json',
'success': rateReviewResult
}
);
window.csrftoken="{{csrftoken}}"; - airtonix{{ csrf_token }},并通过csrf_token = $('input[name="csrfmiddlewaretoken"]').val();获取其值,然后将其与数据一起传递data = {'para1': 'para1_value', csrfmiddlewaretoken: csrf_token};。 - vikas devde我花了一些时间才理解如何处理丹尼尔发布的代码。但实际上,你只需要将它粘贴到javascript文件的开头即可。
对我来说,目前最好的解决方案是:
创建一个csrf.js文件。
将代码粘贴到csrf.js文件中。
在需要使用的模板中引用该代码。
<script type="text/javascript" src="{{ STATIC_PREFIX }}js/csrf.js"></script>
STATIC_PREFIX/js/csrf.js 指向我的文件。我实际上是使用 {% get_static_prefix as STATIC_PREFIX %} 加载了 STATIC_PREFIX 变量。base.html 的模板,那么您可以直接从那里引用脚本,就不必再在其他文件中担心这个问题了。据我所知,这应该也不会造成任何安全问题。src="{{ STATIC_PREFIX }}js/csrft.js"吗?请注意,STATIC_PREFIX是一个变量。我使用{% get_static_prefix as STATIC_PREFIX %}设置了这个变量。但是请确保src指向正确的位置。 - toto_ticosrc行中有一个错误。它写成了csrft.js而不是csrf.js。如果这就是错误的话,那会很有趣,因为这个答案已经得到了一些赞 :P。 - toto_tico简单易懂
$.ajaxSetup({
headers: { "X-CSRFToken": '{{csrf_token}}' }
});
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", '{{csrf_token}}');
}
}
});
缺乏直接的答案,您只需将头文件X-CSRFToken添加到ajax请求中,该请求位于cookie csrftoken中。 JQuery没有处理cookie(出于某种原因),除非使用插件,因此:
<script src="https://cdnjs.cloudflare.com/ajax/libs/jquery-cookie/1.4.1/jquery.cookie.min.js"></script>
最小的代码更改如下:
$.ajax({
headers: { "X-CSRFToken": $.cookie("csrftoken") },
...
});
如果您不将js嵌入模板中,则无需使用插件即可快速解决问题:
在模板中引用script.js文件之前添加<script type="text/javascript"> window.CSRF_TOKEN = "{{ csrf_token }}"; </script>,然后将csrfmiddlewaretoken添加到您的data字典中。
$.ajax({
type: 'POST',
url: somepathname + "do_it/",
data: {csrfmiddlewaretoken: window.CSRF_TOKEN},
success: function() {
console.log("Success!");
}
})
data:{csrfmiddlewaretoken:'{{ csrf_token }}'}。在请求中包含x-csrftoken头:
var token = $('input[name="csrfmiddlewaretoken"]').prop('value');
jQuery.ajax({
type: 'POST',
url: url,
beforeSend : function(jqXHR, settings) {
jqXHR.setRequestHeader("x-csrftoken", get_the_csrf_token_from_cookie());
},
data: data,
dataType: 'json',
});
var token = $('input[name="csrfmiddlewaretoken"]').prop('value');
jQuery.ajax({
type: 'POST',
url: url,
data: { 'csrfmiddlewaretoken': token },
dataType: 'json',
success: function(data) { console.log('Yippee! ' + data); }
});
2016年3月更新
我在过去几年中对这个问题的处理方式已经改变。我将下面的代码(来自Django文档)添加到一个main.js文件中,并在每个页面上加载它。一旦完成,您就不需要再次担心使用ajax时的CSRF令牌问题。
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');昨天我遇到了同样的问题,想着如果有一种简单的方法来处理它会对人们有所帮助,所以我写了一个jQuery插件: jquery.djangocsrf. 它不需要在每个请求中添加CSRF令牌,而是将自身挂钩在AjaxSend jQuery事件上并将客户端cookie添加到标头中。
以下是使用方法:
1- 引入它:
<script src="path/to/jquery.js"></script>
<script src="path/to/jquery.cookie.js"></script>
<script src="path/to/jquery.djangocsrf.js"></script>
2- 在你的代码中启用它:
$.djangocsrf( "enable" );
Django会在使用{% csrf_token %}的模板中添加令牌到cookie中。为了确保即使您的模板中没有使用特殊标签也始终添加令牌,请使用@ensure_csrf_cookie修饰符:
from django.views.decorators.csrf import ensure_csrf_cookie
@ensure_csrf_cookie
def my_view(request):
return render(request, 'mytemplate.html')
<form action="">
{% csrf_token %}
</form>
JS
<script>
const csrftoken = document.querySelector('[name=csrfmiddlewaretoken]').value;
const request = new Request(
'url_here',
{headers: {'X-CSRFToken': csrftoken}}
);
fetch(request, {
method: 'POST',
// mode: 'same-origin' optinal // Do not send CSRF token to another domain.
}).then(function(response) {
console.log(response);
});
</script>