{% csrf_token %}在django中不起作用
在Django中,{% csrf_token %}是一个模板标签,用于生成一个包含CSRF令牌的隐藏字段,用于防止跨站请求伪造攻击(CSRF)。CSRF攻击是一种利用用户在其他网站上的身份验证信息来伪造请求的攻击方式。
CSRF令牌是一个随机生成的字符串,每次用户访问包含表单的页面时都会生成一个新的令牌。当用户提交表单时,Django会验证表单中的CSRF令牌与用户会话中的令牌是否匹配,如果不匹配则拒绝请求。
使用{% csrf_token %}标签的方式如下:
<form method="post" action="/your-url/">
{% csrf_token %}
<!-- 其他表单字段 -->
<input type="submit" value="提交">
</form>在上述示例中,{% csrf_token %}标签会生成一个隐藏字段,包含CSRF令牌。当用户提交表单时,该令牌会被一起发送到服务器端。
Django中的CSRF保护是默认开启的,如果在使用{% csrf_token %}标签时遇到问题,可能是由于以下原因:
- 忘记在表单中使用{% csrf_token %}标签:确保在包含表单的模板中正确地使用了该标签。
- CSRF中间件未正确配置:Django的CSRF保护依赖于CSRF中间件的启用。在
MIDDLEWARE设置中,确保'django.middleware.csrf.CsrfViewMiddleware'中间件被正确添加。
如果以上步骤都正确无误,但问题仍然存在,可能需要进一步检查Django的版本和相关配置。另外,可以尝试清除浏览器缓存或在不同的浏览器中测试以排除浏览器相关问题。
关于Django中的CSRF保护和{% csrf_token %}标签的更多信息,可以参考腾讯云的Django文档:Django CSRF保护。
相关·内容
我使用的是django和一个静态html文件。
我在我的html中添加了{% csrf_token %}标签。
<form data-toggle="validator" role="form" action="/form/" method="post">
{% csrf_token %}
<!some inputs>
</form>
但是当我刷新页面时,我的表单{% csrf_token %}上方有一个文本为什么html标记不起作用?
浏览 0提问于2015-02-22得票数 0
我正在尝试在django中通过javascript呈现一个表单。我尝试通过堆栈溢出post 中描述的方法插入csrf标记标记,但对我不起作用:/我已经尝试了几个小时来找出原因!
var CSRF_TOKEN = document.getElementById('csrf_token').value;
for (i = 0; i < this.ShoeList.length; i++) {
html += "<form method='POST' action='/AddToCart/'>'"+CSRF_
浏览 0提问于2014-05-01得票数 0
在我的django应用程序中,我将html字符串存储在db中,然后将其作为“消息”显示在用户的主页上。其中一些消息包含表单,但没有用模板语言编写,所以我无法插入csrf令牌(因此破坏了应用程序)。
有没有一种方法可以直接从我正在编辑的python文件中插入此令牌?我要找的东西是:
csrf_token = django.csrf.generate()
message = "press the button please: <form><input type='hidden' name='csrf_token' value='%s
浏览 4提问于2010-07-20得票数 41
回答已采纳
当我们必须在每个表单提交中发送csrftoken-cookie时,在django中使用的是{% csrf_token %}。
<form method="post" action="actionFile/">
{% csrf_token %}
<button>Submit</button>
</form>
Django处理器总是请求{% csrf_token %}
我们必须把{% csrf_token %}放在每一种形式吗,django处理器不能利用csrftoken-cookie吗?
可能需要{% csrf_
浏览 5提问于2014-05-30得票数 1
回答已采纳
1回答
我在django中提交了一个ajax表单,并使用
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
去找csrf_token。这个表格在镀铬中运行得很好。但是在火狐中,csrf_token的值是空的,它给出了403个禁止的错误。当我在控制台中签取cookie时,我不会在控制台中接收csrf_token。为什么django不将csrf_token提供给火狐浏览器?
浏览 3提问于2015-08-19得票数 5
回答已采纳
当使用Django format_html创建csrf_token表单时,我需要在下面的{% csrf_token %}位置插入{% csrf_token %},因为使用{% csrf_token %}当然不能替代使用format_html
res = format_html('''
<form method="POST">
{% csrf_token %}
{}
</form>''', ...
如何手动生成在Django呈现HTML模板时插入的等效{% csrf_token %}?
浏览 2提问于2015-10-27得票数 0
回答已采纳
1回答
在Django中,我正在努力使用简单POST形式的CSRF令牌。模板生成以下CSRF输出,而不是输出令牌的值:
<input type='hidden' name='csrfmiddlewaretoken' value='{'csrf_token':django.utils.functional.__proxy__ object at 0x1255690>}' />
我在模板中使用{% csrf_token %},我如何解决这个问题?(我使用的是Django 1.2)
编辑:确切的表单代码是:
<form
浏览 1提问于2010-02-23得票数 1
回答已采纳
我尝试在另一个html页面中嵌入django表单,但它不起作用。我试过我的其他django网站。但什么都不管用。也测试了其他一些网站。django被限制用于iframe吗?怎么让它起作用?表单需要嵌入
模板:
<form method="post">
{% csrf_token %}
<b>{{form.as_p}}</b>
<input type="submit" value="Submit" title="Submit" />
</form>
尝试嵌入如下
浏览 0提问于2017-09-06得票数 8
回答已采纳
我以前有过Django的经验。如果在Django模板中添加行{csrf_token},那么Django将处理csrf_token的功能。但是,当我试图使用Django REST Framework开发一个应用程序接口时,我就卡住了。我如何在API (后端,使用Django REST Framework开发)和React Native/React JS (前端)中添加和处理像Django模板这样的功能?
浏览 3提问于2018-06-07得票数 26
回答已采纳
我很难在Django中看到模板中的post数据。
Django的错误消息是:
"CSRF验证失败。请求中止。“。
这是我的代码:
提交的表格:
<form action="/submitted/" method="post">
{% csrf_token %}
*.... User input some data ....*
</form>
结果页(test.html):
<body>
{{ passed_dict }}
</body>
view.py
from django.core.co
浏览 2提问于2014-03-03得票数 1
我得到了标题中的这个常见错误。我在Django中的一个虚拟环境文件夹中做一个项目。
setting.py:
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
&
浏览 4提问于2019-08-29得票数 1
我很好奇:我知道在Django中有两种保护csrf的方法:模板中的{% csrf_token %}和视图中的@csrf_protect。
所以,问题是:它们是可互换的吗?我的意思是,我可以在我的模板中只使用@csrf_protect,我的视图中没有{% csrf_token %}标签,效果会是一样的吗?
我之所以这样问,是因为我在最近的Django项目中使用了mako,而没有{% csrf_token %}这样的标签……
谢谢!
浏览 1提问于2011-11-13得票数 3
回答已采纳
为什么Django会显示此错误:“禁用(403)CSRF验证失败。请求中止。”当我在表单中已经有{% csrf_token %}时。
templates/core/signup.html
{% block content %}
<form method="post">
{% csrf_token %}
{{ form.as_p }}
<button type="submit">Sign up</button>
</form>
{% endblock %
浏览 15提问于2017-12-24得票数 1
我有一个Django网站,我想隐藏Python和Django技术,不让Wappalyzer和黑客看到。
我一直在网上搜索这个话题,却没有发现任何有用的东西。
在Django版本3和python版本3.7中,我如何做到这一点?
如何在Django和python的不同版本中做到这一点?
任何帮助都将不胜感激。
编辑
我找到答案了!
根据@cizario的回答,我使用了django-hide ()包。
然后,在每个带有{% csrf_token %}表单的模板中,我添加了{% load django_hide %},并将{% csrf_token %}更改为{% h_csrf_token
浏览 11提问于2021-01-04得票数 2
回答已采纳
因此,我尝试在Google collab上运行我的Django web程序,该程序基于本教程
我做到了网络可以运行!
但是,如果我想做POST,总是会出现这样的错误
禁止(CSRF cookie未设置):/ 22/Feb/2022 02:13:47 "POST / HTTP/1.1“403 2864
我已经尝试了一些解决方案,比如将CSRF_COOKIE_SECURE = True放在settings.py中,但仍然不起作用,我也把@csrf_token放在了我的表单上,它仍然不起作用。
我也想试试这个解决方案
from django.views.decorators.csrf
浏览 12提问于2022-02-22得票数 0
在模板中:
<script type="text/javascript">
$.ajax({
type:"POST",
url:"{% url DrHub.views.ajxTest %}",
data: {
'start': $('#id_startTime').val(),
'end': $('#id_e
浏览 0提问于2012-02-22得票数 4
回答已采纳
我正在尝试访问django视图函数中的csrf_token。 我已经尝试导入csrf: from django.template.context_processors import csrf 并像这样使用它 landingPageHtml = landingPageHtml.replace('csrf_token', csrf(request)['csrf_token']) 但是我得到了一个错误。第二个参数必须是字符串而不是惰性对象。 如何在视图中访问csrf令牌? @login_required
def viewLandingPage(request, sl
浏览 19提问于2021-01-23得票数 0
回答已采纳
django新手,创建待办事项列表页面。在输入文本框中输入文本并按ENTER后,我得到CSRF错误。我知道这可能是重复的,但在阅读了许多论坛和文档后,我仍然收到这个问题。这是我尝试过的:
我的表单标记中有{% csrf_token %}模板标记。
我在设置的MIDDLEWARE部分设置了'django.middleware.csrf.CsrfViewMiddleware'。
在Django 1.11中,CSRF_COOKIE_SECURE = False是默认的。我使用的是http,不是https。
我在我的视图中使用render()函数。
我的Firefox隐私设置已设置为允
浏览 0提问于2017-12-09得票数 0
在我使用的Django模板中:
<form action="/user" method="post">{% csrf_token %}
{{ form.as_p|safe }}
<input type="submit" value="Submit" />
</form>
但当我更改为jinja2 template engine时出错
Encountered unknown tag 'csrf_token'
我的问题:jinja2中的csrf_token prot
浏览 13提问于2011-10-21得票数 30
回答已采纳
2回答
遵循Django教程,我编写了以下html文件,该文件接受用户填写的表单,并将其作为对象添加到数据库中(表单是一个类的一组属性) {% block content %}
<form>
<form method="POST"> {% csrf_token %}
{{ form.as_p }}
<input type='submit' value = 'save' />
</form>
{% endblock %} 它不是将表单保存到数据库中,而是将一个奇怪的字符串添加到url (粘贴在下
浏览 27提问于2021-07-29得票数 0
回答已采纳
1回答
虽然我已经添加了所有必需的中间件类,但在Django (1.2.5)的表单中添加csrf_token时遇到了一点小问题
{% csrf_token %}
出现...name 'csrf_token' is not defined错误。
有什么问题吗?
苏尔坦
浏览 0提问于2011-03-21得票数 1
回答已采纳
在我最近的Django项目中,我使用了mako模板。
关于跨站点请求伪造CSRF。
在django模板中有一个标签{% csrf_token %}可以保护你免受黑客的攻击。
那么mako模板呢?是否有类似于csrf_token的保护机制或另一种保护机制?
谢谢!
浏览 5提问于2011-11-13得票数 2
回答已采纳
我可以做GET请求,但是当我做POST时,在Chrome开发者工具中我看到:“无法加载资源:服务器响应状态为500 (内部服务器错误)”
我认为问题出在Django的csrf_token中,所以我找到了这个解决方案:
.config(function($httpProvider){
$httpProvider.defaults.headers.common['X-CSRFToken'] = CSRF_TOKEN;
});
在我的index.html和<head>中,我有:
<script>
CSRF_TOKEN = '{{ csr
浏览 0提问于2013-05-28得票数 0
回答已采纳
我一直在Django之上开发一个骨干层,并使用Django创建API,并让backbone模型调用django api来填充模型。我正在尝试使用用户的默认django模型为用户创建一个登录。因为我不是通过django而是通过backbone中的路由器来渲染页面。我无法通过django的模板语言{{ csrf_token }}生成csrf token,因此我无法发布任何表单。
我认为解决此问题的一种方法是通过让backbone视图从initialize中的api端点获取来生成令牌,并让端点通过
token = csrf._get_new_csrf_key()
,然后通过json将其传递到back
浏览 0提问于2014-07-10得票数 0
我使用的是django 1.5.1,我必须在每个帖子上使用{% csrf_token %} work.RequestContext对我不起作用,这里是我的设置,视图代码和模板代码。
MIDDLEWARE_CLASSES = (
'django.middleware.common.CommonMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
浏览 0提问于2013-05-06得票数 2
回答已采纳
我正在尝试在Django python框架中使用库。我需要通过报头传递csrf_token,以便通过ajax将文件提交到服务器。我应该把csrf_token放在哪里?一般而言,我过去常常在jquery的ajax方法中作为头部传递。现在我不知道应该在哪里包含csrf_token。我必须放入fileinput吗?
浏览 5提问于2017-02-12得票数 2
回答已采纳
我正在使用ajax请求发送POST,但由于csrf_token,它得到了响应403。我只使用Vuejs和后端,使用Django只是响应API,所以我不能使用Django模板来呈现{% csrf_token %},或者让csrftoken在会话中使用getcookie('csrftoken'),就像Django的文档推荐的那样。有没有人像我一样面对这个问题并得到一些解决方案?所以谢谢你能帮我这个忙。
浏览 1提问于2017-04-23得票数 14
回答已采纳
1回答
我正在使用django来设计一个基本的登录和注销页面。下面是我的代码
settings.py
TEMPLATE_CONTEXT_PROCESSORS = (
...........
...........
"django.contrib.messages.context_processors.messages",
"django.core.context_processors.request",
"django.core.context_processors.csrf",
)
MIDDLEWARE_CLA
浏览 2提问于2013-03-01得票数 4
我正尝试在django中登录,但我得到了这个错误,我检查了CSRF文档,但没有为我工作。
下面是HTML:
<body>
<section class="container">
<div class="login">
<h1>Login to Web App</h1>
{% if form.errors %}
<p class="error">Lo sentimos, la combinacion de usuario y
浏览 1提问于2014-01-03得票数 18
1回答
我是Django 1.7,使用此代码呈现视图。这里我呈现一个名为frame.html的html模板并传递上下文。
from django.template import Context
from django.template import Template
from django.shortcuts import render
from django.http import HttpResponse
def frame(request):
if request.GET.get('qid'):
qid = request.GET['qid&#
浏览 3提问于2015-06-21得票数 0
回答已采纳
我以前用过django 1.2,在语言切换上没有任何问题……在我的模板里我有这个..。
<form action="/i18n/setlang/" method="post" class="forms">
{% csrf_token %}
<input name="next" type="hidden" value="/next/page/" />
<select name="language" id="select_langauge"
浏览 1提问于2011-05-15得票数 4
回答已采纳
2回答
我使用以下代码在django模板中‘全选’和‘清除’我的django表单的复选框。
<form id="inv_form" method="post" action="{% url 'inventory:create_inventory' %}">
{% csrf_token %}
{{ form.as_p }}
<input type="submit" name="submit" value="Create Inventory" /
浏览 20提问于2016-07-30得票数 0
1回答
我正在使用Django,我定制了Auth系统,使其具有电子邮件注册,而不是用户名。
我想在我的表单注册中添加输入的名字和姓氏。
这是我的代码
from django.db import models
from django.contrib.auth.models import AbstractUser
class CustomUser(AbstractUser):
username = models.CharField(max_length=255, unique=False, blank=True, null=True)
email = models.EmailField(
浏览 0提问于2021-04-04得票数 0
1回答
我开始将Vue.js集成到Django项目(多页应用程序)中。
首先,我尝试创建一个简单的注销组件,该组件将发布到注销路由。路由的端点来自Django的url模板标记。
端点支柱是组件方法中的undefined。尽管它在组件模板中可用。我做错了什么?
Django模板
<div id="logout">
<logout endpoint="{% url 'account_logout' %}"
csrf_token="{{ csrf_token }}"></logou
浏览 4提问于2017-06-24得票数 4
回答已采纳
有人可能已经问了我的问题,但我找不到任何建议。
我编写了一个Android应用程序,它需要使用HttpsURLConnection访问我的HttpsURLConnection服务器,然后Django服务器会将JSON数组返回给Android。
Django中的视图函数将从request.POST接收参数并生成JSON数组,然后使用HTTPResponse Django方法返回。它不需要任何模板和表单。
当我从Android调用Django视图函数时,它会返回403错误。我知道这是因为POST数据不包含"csrf_token“。
我的问题是:在将"csrf_token“发送到Dj
浏览 2提问于2015-09-30得票数 1
settings.py
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.Authentica
浏览 5提问于2017-10-23得票数 0
我有AJAX代码,它向Django 1.6.4应用程序发出POST请求。视图通过django.middleware.csrf.CsrfViewMiddleware启用了CSRF保护。如果我没有传递cookie,但确实传递了HTTP_X_CSRFTOKEN,则它将失败。
我正在查看django.middleware.csrf.CsrfViewMiddleware的代码,我看到在第161行中,它检查从cookie中获得它后是否有if csrf_token is None:。如果是零,它就会回来。直到之后,它才会检查csrfmiddlewaretoken参数和HTTP_X_CSRFTOKEN请求头。
浏览 7提问于2014-07-16得票数 3
6回答
我想把一个登录表单放在我的网页中的任何地方,所以我添加了一个context_processor,并将其包含在base.html文件中。现在的问题是我看不到表单。
这是我的context_processors.py:
def global_login_form(request):
if request.method == 'POST':
formLogin = LoginForm(data=request.POST)
if formLogin.is_valid():
from django.contrib.auth
浏览 0提问于2011-06-27得票数 3
回答已采纳
1回答
有没有办法只为登录和重置密码创建一个页面?
我尝试用模板中的以下代码创建两个表单页面:
<form action="" method="post" id="formLoginIndex">
{% csrf_token %}
<div id="elogin">
<p><label for="id_username">Login</label>
{{ form.username }}</p>
<p><
浏览 0提问于2012-08-21得票数 0
回答已采纳
我正在尝试发送一个JSON POST请求到我的Django服务器。 它报告这个错误:Forbidden (CSRF token missing or incorrect.): 在我的Django模板options.html中,我这样说: <script>const incomingToken = "{{ csrf_token }}";</script> 还有这个: <input type="hidden" name="csrf-token" id="csrf-token" value="{{
浏览 42提问于2020-09-17得票数 0
1回答
views.py
from django.core.context_processors import csrf
context.update(csrf(request))
{'csrf_token': <django.utils.functional.__proxy__ object at 0xae0f4ec>}
我正在尝试将csrf令牌添加到我的表单中。i正在像above.But csrf_token值这样的视图中生成csrf令牌,它给出了一些类似于上面所示的代理对象,而不是字符串。
浏览 5提问于2012-08-03得票数 2
回答已采纳
1回答
我正在尝试在Django中建立一个类似BBS的小应用,并且我希望能够限制用户删除超过30分钟的帖子。但是,我不能让日期时间比较在模板引擎中工作。 以下是我的观点的一个片段: context = {
...
"message_time" : datetime.utcnow() + relativedelta(minutes=-30)
} 下面是html中的django模板: {% if request.session.userid == post.user.id and post.created_at >=
浏览 14提问于2020-07-23得票数 0
1回答
我担心在模板中描述的ajax调用中使用Django的{{ csrf_token }}的安全性。考虑以下情况:
function set_sensitive_data() {
$.ajax({
url: "{% url 'some_sensitive_view' %}",
method: "POST",
data:{
'csrfmiddlewaretoken': &#
浏览 1提问于2020-07-25得票数 0
我使用这个中间件将所有页面重定向到一个登陆页:( AuthRequiredMiddleware类的一部分)。
def process_request(self, request):
assert hasattr(request, 'user')
if not request.user.is_authenticated():
path = request.path_info.lstrip('/')
if path not in ['ipn/', 'pp_cancel/', '
浏览 2提问于2014-02-06得票数 1
回答已采纳
错误:
失败原因: CSRF cookie未设置。
通常,当存在真正的跨站点请求伪造时,或者Django的CSRF机制没有被正确使用时,就会发生这种情况。对于POST表单,需要确保:您的浏览器正在接受cookie。视图函数使用RequestContext作为模板,而不是上下文。在模板中,每个POST表单中都有一个{% csrf_token %}模板标记,其目标是内部URL。如果不使用CsrfViewMiddleware,则必须对使用csrf_token模板标记的任何视图以及接受POST数据的视图使用csrf_protect。您可以看到此页面的帮助部分,因为Django设置文件中有DEBUG
浏览 5提问于2014-06-27得票数 3
2回答
要添加到数据库的Python表单
、、、、
我正在尝试使用此表单添加到数据库中的表中。我目前得到的错误"CSRF验证失败。请求中止。“,但我得到了其他错误与此代码的不同调整。我如何使这些代码工作,以及编写这样的表单的最佳实践是什么?
models.py
from django.db import models
from django.contrib.auth.models import User
class Portfolio(models.Model):
user = models.ForeignKey(User)
name = models.CharField(max_length=30)
desc
浏览 2提问于2013-03-19得票数 2
回答已采纳
为什么当我使用{{ csrf_token }}**?**时隐藏输入字段的标记没有显示出来?
下面是我模板中的片段:
<form action="." method="post">
{{ csrf_token }}
我预计会产生这样的东西:
<form action="." method="post">
<input type="hidden" name="csrfmiddlewaretoken" value="0c90dab91e22382cbaa5ef375f
浏览 2提问于2011-08-02得票数 18
回答已采纳
目标:无边界或焦点环的Django形式。
Current:目前只能更改某些属性,如文本、颜色和圆角,但不能更改边框或焦点。我使用为表单分配类属性。我正在使用在Django中使用顺风。
尝试:,我使用的是顺风ring-0 & border-0顺风属性,但是它们根本不起作用。
代码:
{% load widget_tweaks %}
<form action="{% url 'marketing:subscribe' %}" method="post">
{% csrf_token %}
{{ form.emai
浏览 3提问于2021-06-11得票数 1
我正在读Djangobook,我正在读7页,实际上有一行写着"#todo --解释CSRF令牌“
当我遵循这些示例时(我很确定我确实遵循了它们),我无法让代码正常工作。
这是我的模板
<html>
<head>
<title>Contact us</title>
</head>
<body>
<h1>Contact us</h1>
{% if errors %}
<ul>
浏览 3提问于2013-05-10得票数 0
回答已采纳
我是django的新手,我做了一个方法:GET表单,带有复选框/文本框和提交按钮。我想将其更改为一种方法:POST表单,但继续获取以下错误:
失败的原因:
CSRF令牌丢失或不正确。
通常,当存在真正的跨站点请求伪造时,或者Django的CSRF机制没有被正确使用时,就会发生这种情况。对于POST表单,您需要确保:
你的浏览器正在接受cookie。
视图函数使用RequestContext作为模板,而不是上下文。
在模板中,每个POST表单中都有一个{% csrf_token %}模板标记,其目标是内部URL。
如果不使用CsrfViewMiddleware,则必须对使用csrf_token
浏览 3提问于2012-08-28得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
