Django CSRF令牌丢失
是指在使用Django框架进行Web开发时,由于某些原因导致CSRF(Cross-Site Request Forgery)令牌丢失的问题。
CSRF是一种常见的Web攻击方式,攻击者通过伪造用户的请求,实现对用户账户的非法操作。为了防止CSRF攻击,Django引入了CSRF令牌机制。
CSRF令牌是一个随机生成的字符串,用于验证用户请求的合法性。当用户访问包含表单的页面时,Django会自动在表单中添加一个CSRF令牌。当用户提交表单时,Django会验证CSRF令牌的有效性,如果验证失败,则拒绝该请求。
然而,有时候会出现CSRF令牌丢失的情况。可能的原因包括:
- 缺少CSRF中间件:在Django的配置文件中,需要确保CSRF中间件被正确添加。可以通过在
MIDDLEWARE设置中添加'django.middleware.csrf.CsrfViewMiddleware'来启用CSRF中间件。 - 表单未包含CSRF令牌:在编写前端页面时,需要确保表单中包含CSRF令牌。可以通过在表单中添加
{% csrf_token %}模板标签来生成CSRF令牌。 - CSRF_COOKIE_SECURE设置错误:如果在生产环境中启用了HTTPS,需要确保在Django的配置文件中将
CSRF_COOKIE_SECURE设置为True,以保证CSRF令牌只能通过HTTPS传输。 - CSRF_COOKIE_DOMAIN设置错误:如果网站使用了多个子域名,需要确保在Django的配置文件中将
CSRF_COOKIE_DOMAIN设置为主域名,以保证CSRF令牌在所有子域名中都有效。
为了解决CSRF令牌丢失的问题,可以按照以下步骤进行排查和修复:
- 检查Django配置文件中是否正确添加了CSRF中间件。
- 确保前端页面的表单中包含
{% csrf_token %}模板标签。 - 检查
CSRF_COOKIE_SECURE设置是否正确,特别是在使用HTTPS的情况下。 - 检查
CSRF_COOKIE_DOMAIN设置是否正确,特别是在使用多个子域名的情况下。
如果以上步骤都正确,但仍然存在CSRF令牌丢失的问题,可以考虑查看Django的文档或寻求社区的帮助来解决该问题。
对于Django开发中的CSRF令牌丢失问题,腾讯云提供了一系列云产品来帮助开发者构建安全可靠的Web应用:
- 腾讯云Web应用防火墙(WAF):提供全面的Web应用安全防护,包括CSRF攻击防护、恶意请求拦截等功能。详情请参考:腾讯云Web应用防火墙(WAF)
- 腾讯云安全组:通过配置安全组规则,限制网络访问,保护Web应用免受恶意请求的攻击。详情请参考:腾讯云安全组
- 腾讯云SSL证书:提供HTTPS加密传输,确保CSRF令牌的安全传输。详情请参考:腾讯云SSL证书
以上是关于Django CSRF令牌丢失的解释和解决方法,希望能对您有所帮助。
相关·内容
2回答
我正尝试在本地机器上测试一个联合登录应用程序。我将django与应用程序一起使用。然而,当登录到localhost时,我得到一个403禁止的django错误页面,通知我"CSRF令牌丢失或不正确“。我想这意味着我访问的网站没有被授权。
在谷歌上,你可以添加localhost,但当你试图管理该页面时,什么也不会发生。
那么,有没有办法在您的本地机器上测试联合登录呢?
浏览 1提问于2010-12-13得票数 1
回答已采纳
2回答
我有一个基本的Django服务器,它有一个python命令行客户机,可以投递到这个服务中。我有一个登录功能和一个post功能。尽管CSRF的cookie是从登录函数中设置的,但当我登录后尝试访问post_product端点时,服务器说是禁止的。
我已经对此进行了数日的故障排除,但没有任何运气。
/api/login/ function:
from django.views.decorators.csrf import csrf_exempt
from django.contrib.auth import authenticate, login, logout
from django.http
浏览 0提问于2019-08-15得票数 0
回答已采纳
我试图使用Python-Request从一个普通的Python脚本向Django视图发送一个POST请求。django视图是而不是 @login_required,所以除了JSON数据之外,我唯一需要发送的是一个CSRF令牌,下面是我尝试过的:
token = session.get('http://127.0.0.1:8000/myview/view')
data = json.dumps({'test': 'value'})
session.post('http://127.0.0.1:8000/myview/myview',
浏览 3提问于2020-01-06得票数 0
回答已采纳
我开始在Django中使用插件,很快就遇到了CSRF错误:"CSRF验证失败。请求中止。“,"CSRF令牌丢失或不正确”。
在撰写本文时,Jeditable插件似乎最后一次更新是在2008年--在这段时间之后,Django开始需要来发送POST请求。
如何将Django CSRF数据添加到Jeditable?
浏览 2提问于2012-10-23得票数 0
我正在使用服务器:Django,Gunicorn,ngnix,postgresql
Client: Chrome Advanced Rest Client
views.py
from django.views.decorators.csrf import csrf_exempt, **ensure_csrf_cookie** # Newly added
from django.http import HttpResponse
**@ensure_csrf_cookie** # newly added
def hello(request):
return
浏览 2提问于2015-05-10得票数 4
回答已采纳
1回答
我注意到,当使用django时,当你发出post请求时,例如使用一个表单,django会要求你添加csrf令牌,但是当我使用react从django rest框架创建的api中获取数据时,我意识到当我没有发送csrf令牌时,应用程序没有任何错误。
在这个应用中,我正在使用knox的令牌认证,我已经看到了一些关于如何使用csrf令牌进行会话认证的帖子。
我的问题是令牌身份验证是否不需要csrf令牌,或者它们是由react自动传递的吗?提前谢谢。
浏览 4提问于2021-02-18得票数 0
我正在使用一个增强的图片插件来上传图片到server.My后端是Django.By,从django-ckeditor得到一些帮助,我已经在CKEDITOR中实现了图片上传的前端和后端部分。
然而,Django-Ckeditor在图像上传中不处理csrf保护。它使用csrf_exempt装饰器来免除csrf保护。
upload = csrf_exempt(ImageUploadView.as_view())
如何在图片上传的post请求中添加csrf token?我是否需要在处理csrf token的上传插件中编写自己的表单?
浏览 23提问于2015-07-18得票数 2
1回答
我正在使用django来设计一个基本的登录和注销页面。下面是我的代码
settings.py
TEMPLATE_CONTEXT_PROCESSORS = (
...........
...........
"django.contrib.messages.context_processors.messages",
"django.core.context_processors.request",
"django.core.context_processors.csrf",
)
MIDDLEWARE_CLA
浏览 2提问于2013-03-01得票数 4
2回答
我在文档中看到,DRF只在经过身份验证的请求上验证CSRF令牌,登录视图应该明确地检查CSRF令牌。
问题是,如何手动检查CSRF令牌?
在我的settings.py里
MIDDLEWARE = [
...
"django.middleware.csrf.CsrfViewMiddleware",
...
]
以下是我的看法:
from rest_framework.decorators import api_view
from django.http import JsonResponse
from django.views.decorators.csr
浏览 26提问于2022-10-02得票数 1
回答已采纳
1回答
我正在使用Django + Django REST框架+ Django OAuth工具包。
我知道来自web会话的AJAX调用需要CSRF保护,但我的理解是,移动应用程序并不像CSRF检查所保护的那样在专用应用程序中发生。如果一个人有一个OAuth令牌,他们没有使用我们的网络应用程序,所以在这种情况下,我似乎不需要执行CSRF检查。
当请求包含OAuth令牌时,是否有任何方法禁用端点上的CSRF检查,如果是,这是一件安全的事情吗?还是所有请求都应该受到CSRF机制的保护?
浏览 2提问于2015-09-09得票数 3
回答已采纳
1回答
我的表单是这样创建的
<form class="k-form" id="k_form" novalidate="novalidate">{% csrf_token %}
并且稍后在html中关闭。
这是我的AJAX帖子:
$('#submit').on("click",function(e){
var ready_to_submit = true;
if(ready_to_submit){
e.preventDefault();
var local
浏览 1提问于2018-11-10得票数 0
我有一个GWT web应用程序与Django服务器端一起工作。我最近将Django升级到1.2,无法从我的GWT应用程序中获得HTTP帖子。我得到了这个错误:
CSRF验证失败。请求中止。
失败的原因:
CSRF令牌丢失或不正确。
我已经启用了csrf中间件(‘django.medileware.csrf.CsrfView中间件’),它正在为登录之类的控制应用程序工作,但似乎没有将令牌添加到通过GWT发布的帖子中。有什么想法吗?提前谢谢。
浏览 2提问于2010-09-20得票数 1
回答已采纳
我在django表单中启用了csrf令牌,如果我试图上传该文件,就会出现以下错误。请帮我修一下。
禁忌(CSRF曲奇未设置):/upload
我的html表单呈现如下。
<form id="uploadfile" action="/upload" class="dropzone needsclick dz-clickable" enctype="multipart/form-data" method="post" style="display: none;">
<i
浏览 3提问于2016-03-02得票数 1
我正在为Django开发一个移动应用程序的后端,其中用户注册使用POST方法发送用户数据。因为Django将CSRF安全性作为中间件提供。这里我的问题是如果我有一个前端,我可以通过jinja代码作为{% csrf_token %}启用CSRF令牌,但是因为它是后端,以及如何解决这个问题
浏览 3提问于2020-06-04得票数 2
回答已采纳
我正在开发统一应用程序。我想登录Django网站。
当web在Django中开发网站时,我们只是在模板中<form action="." method="post">{% csrf_token %}代码。
但是,本机应用程序不知道如何获得csrf令牌。
您能告诉我csrf令牌或如何在C#中创建统一吗?
浏览 1提问于2015-03-26得票数 0
回答已采纳
当我使用django方法返回back后返回时,我得到CSRF验证失败。
即使我成功登录,它也会返回登录页面。并在CSRF验证失败时发布错误。
我可以在Django设置中设置任何东西吗?
浏览 25提问于2017-03-06得票数 1
在django网站上,声明:
The CSRF protection is based on the following things:
1. A CSRF cookie that is set to a random value (a session independent nonce, as it is called), which other sites will not have access to.
2. ...
然后,它还声明可以通过javascript从cookie获得csrf令牌:
var csrftoken = $.cookie('csrftoken');
浏览 6提问于2013-07-30得票数 5
回答已采纳
我试图对我的django后端做一个ajax帖子,我得到了"error 403,forbbiden",使用AngularJS作为前端。
我知道我必须通过我的post数据发送csrf令牌,但是django视图没有检测到它。
自从在我的表单中使用'{%csrf_token%}‘,在我的ajax数据中使用{{csrf_token}}以来,我已经尝试了一切,但仍然得到了相同的错误。
View.py
from django.views.decorators.csrf import *
def getCookie(request):
if request.method == &
浏览 2提问于2015-05-18得票数 0
我在frontend.example.com上运行了一个React前端,在backend.example.com上运行了一个Django后端。我正在使用Django Session Authentication,我想正确地实现CSRF protection。 以React登录页面frontend.example.com/login为例。这是用户第一次访问该页面。有一个带有用户和密码的表单,在提交时会向Django后端创建一个新的POST请求。据我所知,CSRF令牌cookie应该已经包含在这个请求中了,对吧? 如何从Django后台获取CSRF令牌?我正在考虑在加载登录页面时向Django后
浏览 22提问于2020-05-02得票数 0
2回答
构建我的第一个应用程序使用Django作为后端和反应作为前端。
在本地,我分别在8000端口和3000端口上运行。
我在网上找到了一小部分代码,以帮助我测试我的CSRF和CORS策略是否正确设置:
const API_HOST = 'http://localhost:8000';
let _csrfToken = null;
async function getCsrfToken() {
if (_csrfToken === null) {
const response = await fetch(`${API_HOST}/csrf/`, {
cre
浏览 0提问于2019-01-04得票数 4
回答已采纳
我希望将javascript中的数据发布到django实现的api中。但我无法超越csrf令牌
settings.py
...
CSRF_TRUSTED_ORIGINS = [
'http://localhost:8888'
]
...
MIDDLEWARE = [
'django.contrib.sessions.middleware.SessionMiddleware',
'django.contrib.sites.middleware.CurrentSiteMiddleware',
'django.m
浏览 3提问于2022-10-22得票数 0
我以前有过Django的经验。如果在Django模板中添加行{csrf_token},那么Django将处理csrf_token的功能。但是,当我试图使用Django REST Framework开发一个应用程序接口时,我就卡住了。我如何在API (后端,使用Django REST Framework开发)和React Native/React JS (前端)中添加和处理像Django模板这样的功能?
浏览 3提问于2018-06-07得票数 26
回答已采纳
我使用Django作为我的android应用的后端。我一直在使用@ csrf -exempt注解处理post请求,因为我在从android(VOLLEY库)发送post请求时无法处理csrf验证。现在,我不得不使用django.contrib.auth登录和注销方法,但是当我从安卓发送post请求时,会话不工作。
我试着用我的请求在安卓中启用cookies,但也不起作用(启用cookies也没有解决csrf验证失败的问题).Also我尝试从GET请求中获取csrf令牌到django( django.middleware.csrf - get_token),然后在post请求的头部(X- csr
浏览 1提问于2018-07-27得票数 5
2回答
我正在用Phonegap开发一个应用程序,它使用Django后端。后端使用csrf,所以我需要我的Phonegap应用程序使用csrf,以便它可以与Django一起工作。
我已经读到您可以通过Ajax使用csrf,但是我一直无法使它工作。
你能给我举个例子告诉我怎么做吗?
浏览 1提问于2014-03-10得票数 3
回答已采纳
当我们必须在每个表单提交中发送csrftoken-cookie时,在django中使用的是{% csrf_token %}。
<form method="post" action="actionFile/">
{% csrf_token %}
<button>Submit</button>
</form>
Django处理器总是请求{% csrf_token %}
我们必须把{% csrf_token %}放在每一种形式吗,django处理器不能利用csrftoken-cookie吗?
可能需要{% csrf_
浏览 5提问于2014-05-30得票数 1
回答已采纳
我很难在Django中看到模板中的post数据。
Django的错误消息是:
"CSRF验证失败。请求中止。“。
这是我的代码:
提交的表格:
<form action="/submitted/" method="post">
{% csrf_token %}
*.... User input some data ....*
</form>
结果页(test.html):
<body>
{{ passed_dict }}
</body>
view.py
from django.core.co
浏览 2提问于2014-03-03得票数 1
2回答
Django如何验证CSRF?
、、、、
根据我的理解,Django验证CSRF的方式是通过比较
request.POST.get('csrfmiddlewaretoken', '') | request.META.get(settings.CSRF_HEADER_NAME, '') == request.session.get(CSRF_SESSION_KEY) | request.COOKIES[settings.CSRF_COOKIE_NAME]
现在,这两个标记(一个来自LHS,另一个来自RHS)是通过使用以下函数进行解密的。
正在比较的两个令牌是不同的,但被解密为同一个“机
浏览 0提问于2018-04-05得票数 0
回答已采纳
在django 1.11中使用csrf令牌的帮助
在view.py中,我使用以下代码:
from django.shortcuts import render_to_response, redirect
from django.contrib import auth
from django.views.decorators.csrf import csrf
def login(request):
args = {}
args.update(csrf(request))
if request.POST:
username = request.PO
浏览 1提问于2017-07-12得票数 3
回答已采纳
我正在尝试用SWFUpload将文件上传到Django。找到这篇文章。但发现了一个问题。在Django 1.2中,csrf需要在每次表单提交时发送csrf令牌,并且它包括在我关闭csrf (全局或使用@csrf_exempt装饰器查看)之前不会与SWFUpload.So上传一起发送的文件。有没有比关闭csrf更好的方法来处理这个问题?
我知道我可以通过SWFUpload post_params:{"csrfmiddlewaretoken“:""},,.但我不知道如何在模板中只获取csrf标记的值,而不是完整的输入标记。
浏览 0提问于2010-07-04得票数 3
回答已采纳
1回答
我目前正在开发一个使用Django服务器和运行React的NodeJS服务器的项目。在开发过程中,我们在端口8000上运行Django,在端口8080上运行NodeJS,目前React负责呈现页面并与Django API交互,Django API为React提供数据。为了响应对Django API的调用,我们启用了Django中的CORS,因为它们位于不同的端口上。
我的问题如下:
允许所有CORS在生产中安全吗?
如果Django不使用模板系统,站点是否仍然受到默认的CSRF的保护?如果没有,如何在这样的设置(React+Django)中预防CSRF?
浏览 2提问于2018-01-18得票数 3
它是否禁用CSRF功能,这是slash命令服务器的最佳实践吗?
我想通过一个 (例如,/test )在Django中调用一个API视图函数。
当我使用任何浏览器(所以是GET请求)调用视图函数的URL时,它的工作原理是预期的。
但是,当我在Slack中运行/test时,403_client_error在slack中,Forbidden (CSRF cookie not set)在Django shell中。
我相信这是因为Slack发送一个POST请求,Django需要CSRF令牌来处理任何POST请求。
我的问题是我是否应该禁用这个视图的CSRF检查。会有很大的风险吗?或者有什么解决办法?
浏览 0提问于2018-07-31得票数 0
回答已采纳
我知道以前也有人问过类似的问题,但我不能用这些答案为我的问题找到可行的解决方案。
我有一个页面,其中有一个表单A和许多复选框。表单和相关的复选框是通过Django模板创建的。我通过javascript从Django模板创建的表单A的输入值创建了一个新的表单B。由于csrf_token错误,Django不接受我的新表单B。谁能告诉我如何从django呈现的表单A中提取csrf令牌,并将其用作动态创建的javascript表单的csrf令牌?
浏览 2提问于2016-05-05得票数 3
1回答
我正在尝试使用Django Rest框架构建一个单页面应用程序。对于身份验证,我使用了一个登录视图,它启动一个会话,并要求所有api路由上的csrf保护。因为没有进行模板操作,所以从未使用过csrf_token标记,所以我必须使用get_token手动获取令牌。我不想把它放在主视图中给出的主索引文件中,而是把它设置在它自己的cookie上。不,这不是django提供的CSRF Cookie,因为那个有CSRF密钥,再加上我提到我正在使用会话,所以密钥存储在那里。此cookie将具有用于所有变异请求的令牌。
我想尽一切办法让django接受这个cookie,但都没有成功。我可以很好地第一次登录,
浏览 3提问于2019-04-26得票数 2
我想知道CSRF生成的默认Django策略是什么?它们是每个页面还是每个会话创建的?如果它是每个会话,为什么它被选择?不是比每页CSRF安全多了吗?
浏览 5提问于2020-01-23得票数 1
回答已采纳
我正在尝试访问django视图函数中的csrf_token。 我已经尝试导入csrf: from django.template.context_processors import csrf 并像这样使用它 landingPageHtml = landingPageHtml.replace('csrf_token', csrf(request)['csrf_token']) 但是我得到了一个错误。第二个参数必须是字符串而不是惰性对象。 如何在视图中访问csrf令牌? @login_required
def viewLandingPage(request, sl
浏览 19提问于2021-01-23得票数 0
回答已采纳
1回答
我让Pyjamas和Django通过Apache2运行,mod_wsgi在Windows 7上运行。不过,我不相信我会从这些东西的设置中得到问题:唯一不起作用的是试图发布来自Pyjamas生成的表单的信息。尝试在我的应用程序中使用Pyjamas生成的表单会产生403 s( "CSRF验证失败“错误页面)。
我花了好几个小时研究这个问题,阅读了我在这里找到的关于CSRF和Pyjamas的所有答案,并且做了很多关于CSRF和Django、Django和Ajax等的外部研究。如果这个问题没有触及到任何知道在这种情况下该做什么的人,我想我已经淡化了问题的本质。
如何将{% csrf_token
浏览 3提问于2011-10-18得票数 3
回答已采纳
我使用Vuejs作为前端,Django rest框架作为后端,我有一些困惑如何使用csrf令牌,我的问题有两个部分,首先我写我的配置。
首先,正如所说,“如果你的视图没有呈现一个包含csrf_token模板标签的模板,Django可能不会设置CSRF token cookie。这在表单被动态添加到页面的情况下是很常见的。为了解决这种情况,Django提供了一个强制设置cookie的视图装饰器:ensure_csrf_cookie()",所以这是我的视图,它呈现加载了webpack包的页面。
@ensure_csrf_cookie
def main_view(request):
浏览 5提问于2021-04-10得票数 0
我使用下面的代码首次登录到我的网站,以获得有效的CSRF令牌,然后我想使用该令牌进行API调用,然而,它失败了。请帮帮我..。
import requests
LOGIN_URL = 'http://localhost:8000/admin/login/'
client = requests.session()
# Retrieve the CSRF token first
client.get(LOGIN_URL)
csrftoken = client.cookies['csrftoken']
print('token:'+ csrftoke
浏览 0提问于2018-10-24得票数 1
回答已采纳
2回答
现在我遇到了一些问题,我遇到了CSRF Cookie未设置的问题。请看下面的代码
views.py
from django.shortcuts import render_to_response
from django.contrib.auth import authenticate, login
from django.conf.urls import patterns, url, include
from django.template.context_processors import csrf
def login_user(request):
state = "
浏览 3提问于2015-10-21得票数 0
1回答
我想我正在慢慢掌握Django的窍门,但我在编程方面相对来说还是比较新的和自学的。我一直在模板中使用form.as_p和form_ul,但希望更好地了解如何使它们看起来更好。我查看了Django关于如何手动呈现表单的文档。这似乎如广告所示,我可以在我的html页面上显示各个字段等。然而,在文件中强调了这一点:
表单和跨站点请求伪造保护Django与易于使用的保护,以防止跨站点请求伪造。在启用CSRF保护的情况下,通过POST提交表单时,必须使用csrf_token模板标记,如前面的示例所示。但是,由于CSRF保护并不直接与模板中的表单相关联,因此本文档中的以下示例省略了此标记。
我想我
浏览 0提问于2020-05-02得票数 2
回答已采纳
2回答
要添加到数据库的Python表单
、、、、
我正在尝试使用此表单添加到数据库中的表中。我目前得到的错误"CSRF验证失败。请求中止。“,但我得到了其他错误与此代码的不同调整。我如何使这些代码工作,以及编写这样的表单的最佳实践是什么?
models.py
from django.db import models
from django.contrib.auth.models import User
class Portfolio(models.Model):
user = models.ForeignKey(User)
name = models.CharField(max_length=30)
desc
浏览 2提问于2013-03-19得票数 2
回答已采纳
在Android (push notification )注册过程中,我的移动客户端必须将POST请求发送到Django视图。默认情况下,视图需要csrf_token,但是它可能是禁用的和@csrf_exempt装饰器。
我的问题是:不让csrf检查这一观点会带来什么后果?如果我从移动客户端(用某种盐)组成一个令牌,这有意义吗?
浏览 7提问于2012-12-01得票数 2
我是django的新手,对csrf令牌很感兴趣。我从android向我的django服务器发出post请求,该服务器使用csrf保护。我首先通过发出get请求来获得csrf令牌,然后从POST请求的主体传递这个csrf令牌。但是,我的服务器显示“CSRF cookie未设置”错误。服务器对邮递员的呼叫响应良好,但当我从android拨打电话时,我收到了这个错误。我想我遗漏了一些简单的东西,但我不能弄清楚。
浏览 2提问于2019-08-29得票数 1
我有AJAX代码,它向Django 1.6.4应用程序发出POST请求。视图通过django.middleware.csrf.CsrfViewMiddleware启用了CSRF保护。如果我没有传递cookie,但确实传递了HTTP_X_CSRFTOKEN,则它将失败。
我正在查看django.middleware.csrf.CsrfViewMiddleware的代码,我看到在第161行中,它检查从cookie中获得它后是否有if csrf_token is None:。如果是零,它就会回来。直到之后,它才会检查csrfmiddlewaretoken参数和HTTP_X_CSRFTOKEN请求头。
浏览 7提问于2014-07-16得票数 3
我使用的是Django Rest Framework和django-rest-auth。
我有标准的API端点(/login,/logout,/registration.)
使用浏览器,我可以登录/列出我的用户/注销。对于失眠症(一个API请求者),我无法登录/注销,我有错误
"CSRF失败: CSRF令牌丢失或不正确“
也许我需要添加CSRF头,但老实说,我不知道在哪里可以找到这个CSRF令牌.也许我需要添加一些东西(@csrf_protect ?)若要登录端点,但是否被迫完全重写默认视图?
浏览 1提问于2019-04-25得票数 10
2回答
我正在开发一个使用nodejs、express的简单web应用程序,当我切换到session和csrf时,我的PUT、DELETE和POST请求都失败了。有错误:
error: Forbidden at Object.exports.error (appFolder/node_modules/express/node_modules/connect/lib/utils.js:63:13) at createToken (appFolder/node_modules/express/node_modules/connect/lib/middleware/csrf.js:82:55)
我查看了这一
浏览 4提问于2014-02-21得票数 0
回答已采纳
1回答
我在Django中有一个我的网站的联系人表单,当我在本地测试它时,它工作得很好,但现在当我尝试提交我的联系人表单"live“时,它总是出现403禁止的CSRF验证失败。
查看:
def contact(request):
if request.method == 'POST':
form = ContactForm(request.POST)
if form.is_valid():
cd = form.cleaned_data
send_mail(
c
浏览 0提问于2014-09-21得票数 5
回答已采纳
环顾四周后,我想确定自己做得对,但我开始怀疑和最糟糕的是:我没有选择/想法了。
因此,我使用django作为API类(我只获得一些资产的请求),除了基类视图中的一个POST方法之外,它允许用户下载文件。
问题是django希望在我的帖子上得到一个CSRF令牌。
所以,下面是我的反应:
export function sendData(endpoint, req, data) {
return dispatch => {
dispatch(requestData(data));
let csrfToken = Cookies.get('csrftoken')
浏览 2提问于2017-01-26得票数 0
回答已采纳
2回答
文档中有一个解释,但我还有一些额外的问题。
为什么需要专用的CSRF cookie?
如果Django不使用特定于事务的随机数,为什么不要求在POST请求主体中嵌入会话ID呢?
为什么CSRF随机数要绑定到会话ID?Django会这样做吗?
似乎暗示CSRF现时值需要绑定到会话ID (例如,CSRF现时值=会话ID的键控散列)。为什么会这样呢?Django是否将其CSRF nonce绑定到会话ID?
为什么Django使用独立于会话的随机数而不是特定于事务的随机数?
是否出于性能方面的考虑?直观地说,特定于事务的随机数本质上似乎更安全。
浏览 0提问于2011-05-20得票数 7
回答已采纳
我正面临基于owasp表单的身份验证的路障。我按照指导设置了zap属性。当我运行活动扫描时,“当尝试登录时,会出现禁止的错误。CSRF令牌不可用。”
Owasp在python项目上使用“基于表单的身份验证”在活动扫描期间不执行身份验证。
[
我的目标网址是:
http://example.com:84/admin/login/?next=/admin/
员额数据;
csrfmiddlewaretoken=IjYwHHavnCYgcWYMy2oL3L9Z0ldUH95s&username={%username%}&password={%password%}&next=%
浏览 0提问于2016-09-02得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
