我正在使用 Django Rest Framework,同时也在使用 django-rest-auth。
我有标准的API端点(/login、/logout、/registration...)
通过浏览器,我可以登录/列出我的用户/退出。但通过 Insomnia(一个API请求工具),我无法登录/退出,出现了以下错误:
"CSRF失败:CSRF令牌丢失或不正确"
也许我需要添加CSRF头部,但我真的不知道如何找到这个CSRF令牌……也许我需要在登录端点中添加一些东西(@csrf_protect?),但是我必须完全重写默认视图吗?
解决方案
您需要在Insomnia的Header设置中设置X-CSRFToken (https://support.insomnia.rest/article/49-cookies)。
X-CSRFToken的条目cookie,点击Request => CookieRequest => Cookiecsrftoken然后再次尝试即可。
说明
Django在cookie中设置CSRF Token。这是在向服务器发送第一个请求时完成的。然后将cookie的值作为X-CSRF-Token在header中发送回服务器。
您可以在浏览器的调试器中(Chrome中按F12键)查看正在发生的事情。
设置csrftoken Cookie
将csrftoken作为X-CSRF-Token在请求头发送回服务器
因为声望低,所以将其作为答案而不是评论提及。
添加一个名为X-CSRFTOKEN的条目即可。但是为了使其生效,请确保您有一些不需要csrftoken的url并发出请求。只有在向API发出成功请求后,解决方案才能起作用,否则Insomnia无法从服务器获取令牌,并将出现No cookies in store for URL错误。
除了 @basti500 的回答。
使用 X-CSRFTOKEN 而不是 X-CSRFToken 可以与 Django 的默认CSRF_HEADER_NAME配合使用,即
HTTP_X_CSRFTOKEN。
也就是说:
X-CSRFTOKEN请求 => Cookie请求 => Cookiecsrftoken 输入至 Cookie 名称中确保检查设置文件 settings.py 中是否设置了 CSRF_HEADER_NAME。
basti500的回答对我有效。但是它给了我一个405方法不允许
我错误地在我的终点添加了一个/,只需移除它对我而言就可以正常工作,无需任何额外的头部信息。
from django.views.decorators.csrf import get_token
urlpatterns = [
# ...other URL patterns...
path('api/csrf-token/', get_token, name='api-csrf-token'),
]
/api/csrf-token/发出请求。该请求将在响应中返回CSRF令牌。