CSRF django nginx 与来自 cloudflare 的 ssl

CSRF django nginx with ssl from cloudflare

背景

我正在尝试配置我的 Django 应用程序以使用 cloudflare 提供的 ssl。我的设置与 this answer 大致相同,并且遵循相同的解决方案。

问题:

这几个星期以来一直困扰着我(请帮忙!)因为我不是一个networking/security人而且只是需要一个既能避免我挖出眼睛又能保证网站安全的解决方案。

我目前遇到 CSRF 问题 https://www.domain.co.uk does not match https://domain.co.uk

配置

Settings.py

SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTOCOL', 'https')
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
)
USE_X_FORWARDED_HOST = True

nginx:

server {

    listen 80 default_server;

    server_name domain.co.uk www.domain.co.uk;
    access_log off;

    location /static/ {
        alias /static/;
    }


    location / {
            proxy_pass http://127.0.0.1:8000;
            proxy_set_header X-Forwarded-Host $server_name;
            proxy_set_header X-Real-IP $remote_addr;
            add_header P3P 'CP="ALL DSP COR PSAa PSDa OUR NOR ONL UNI COM NAV"';

            proxy_set_header X-Scheme $scheme;
            proxy_set_header X-Forwarded-Protocol $scheme;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            }
}

Cloudflare DNS:

A domain.co.uk  points to <ip> Automatic
CNAME www is an alias of domain.co.uk Automatic 

奖金

此外,我还有 .com 域,想知道如何最好地设置它,以便它也是 ssl。

您需要设置发送 CSRF cookie 的域。尝试在您的设置中将 CSRF_COOKIE_DOMAIN 设置为 ".domain.co.uk",将 CSRF_COOKIE_SECURE 设置为 True

第 4 点值得一读https://docs.djangoproject.com/en/1.9/ref/csrf/#how-it-works

我个人会将您的配置放在 nginx 端,而不是 Django 端。这样,当您进行本地开发时,您可以验证您的 CSRF 并确保一切正常。确保它确实有效……如果没有 nginx 配置就无法在本地工作,那么还有另一个与服务器配置无关的问题。然后应该可以在没有特定 Django 设置或库的情况下使所有内容在服务器上以相同的方式工作。

对于您的 nginx 配置,解决方案对我们来说可能是 answer like this 到 301 重定向所有 www.到 non-www,并将所有 http 重定向到 https。

然后,你可以在你的 nginx 中重命名这一行:

server_name domain.co.uk www.domain.co.uk;

至:

server_name domain.co.uk;  # This assumes you're directing www. to non-www

这应该可以解决您的 CSRF 问题...因为您将只引用一个域而不是上面提到的两个域。

301 重定向的额外好处是您可以避免对自然搜索的任何重复内容惩罚。

[编辑] 看起来您正在使用 CNAME 重定向 www.到 non-www,所以你可以简单地使用 https 到 non-https 301 从我上面引用的答案重定向。