代码之家  ›  专栏  ›  技术社区  ›  seawolf

在基于会话的CSRF中使用Django REST框架

csrf django-rest-framework django
  •  1
  • seawolf  · 技术社区  · 6 年前

    CSRF_USE_SESSIONS = True .

    然而,DRF web UI依赖于这个cookie进行所有交互。这似乎是通过读取 csrftoken cookie和设置 X-CSRFToken django.middleware.csrf.CsrfViewMiddleware.process_view() 如果隐藏字段未包含在请求正文中。此代码设置自 rest_framework.templates.rest_framework.base.html : 

    <script>
  window.drf = {
    csrfHeaderName: "{{ csrf_header_name|default:'X-CSRFToken' }}",
    csrfCookieName: "{{ csrf_cookie_name|default:'csrftoken' }}"
  };
</script>

    不使用的DRF表单 POST PUT , PATCH ,和 DELETE 请求以403响应失败。

    相信 CSRF_USE_SESSIONS=True ?

    0 回复  |  直到 6 年前
        1
  •  0
  •   seawolf    5 年前

    这是固定的 https://github.com/encode/django-rest-framework/pull/6207 并作为DRF 3.9.2的一部分发布。更完整的上下文可以在 https://github.com/encode/django-rest-framework/issues/6206 .

    推荐文章
    Florent  ·  如何在Django中聚合多个字段?
    1 年前
    KWunsch  ·  Django没有将pk引入模板
    1 年前
    Akshay mek  ·  Vscode扩展建议不适用于某些文件夹
    1 年前
    Farid  ·  限制django每个客户的访问
    2 年前
    Shanmukh Adari  ·  是否可以更改Django模型中的内置验证器消息
    2 年前
    Hoshmand Qadir  ·  将数据库中的特定项提取到Django模板中(如果它是特定类型的)
    2 年前
    Maruf Khan  ·  GitHub操作无法找到Django的环境变量
    2 年前
    Blue  ·  从Django中的输入字段获取用户输入
    2 年前
    4SadMemeXD  ·  无法在Django中选择相关类别
    2 年前
    JasonTS  ·  如何在Django中应用与m2m关系的对象相关的select_?[副本]
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号