CSRF 令牌只是在 django 中随机触发
CSRF token just fires randomly in django
我的 html 中有一个表格:
<form id="form" action="" method="post"> {% csrf_token %}
<div>{{form.input1}}</div>
<div>{{form.input2}}</div>
<div>{{form.input3}}</div>
<input type="submit" class="btn" name="submit" value="submit">
</form>
在我的 urls.py 中:
urlpatterns = [
url(r'^$', views.MyView.as_view(success_url='/'), name='index'),
]
有时当我点击提交时,csrf 令牌被触发并显示 csrf 令牌丢失或不正确。
首先,这怎么可能?文档说:
This should usually only be seen when there is a genuine Cross Site Request Forgery, or when, due to a programming error, the CSRF token has not been included with a POST form.
据我所知,它已正确实施。
错误消息进一步说
- Your browser is accepting cookies
确实如此
- The view function passes a request to the template's render method
根据 doc 我知道了。
- In the template there is a {%csrf_token%} template tag inside each POST form that targets an internal URL
确实如此,但这就是拥有 csrf 令牌的全部意义吗?
- If you are not using
CsrfViewMiddleware, then you must use csrf_protect on any views that use the csrf_token template tag, as well as those that accept the POST data.
根据文档,这是默认激活的。
那么为什么它有时会触发(很少)?
既然你说错误只是偶尔出现,我认为问题可能是你打开了带有表单的页面,在另一个选项卡上登录,然后提交了表单。
这会导致错误,因为 csrf 令牌会在您登录时更新。不幸的是,您对此无能为力。
您是动态呈现表单还是类似的? Django 只会用隐藏的输入字段替换 {% csrf_token %} 并在该标记从一开始就出现在模板中时注入 csrftoken cookie。
首先尝试用以下方法装饰您的视图:
from django.views.decorators.csrf import ensure_csrf_cookie
@ensure_csrf_cookie
def index(request):
return render(request, 'index.html')
这将始终注入 cookie。
如果您确实在动态操作表单,则需要使用 csrftoken cookie 手动检索 csrf 令牌,然后使用隐藏字段(额外请求参数)或 header,如文档中所述。
我的 html 中有一个表格:
<form id="form" action="" method="post"> {% csrf_token %}
<div>{{form.input1}}</div>
<div>{{form.input2}}</div>
<div>{{form.input3}}</div>
<input type="submit" class="btn" name="submit" value="submit">
</form>
在我的 urls.py 中:
urlpatterns = [
url(r'^$', views.MyView.as_view(success_url='/'), name='index'),
]
有时当我点击提交时,csrf 令牌被触发并显示 csrf 令牌丢失或不正确。
首先,这怎么可能?文档说:
This should usually only be seen when there is a genuine Cross Site Request Forgery, or when, due to a programming error, the CSRF token has not been included with a POST form.
据我所知,它已正确实施。
错误消息进一步说
- Your browser is accepting cookies
确实如此
- The view function passes a request to the template's render method
根据 doc 我知道了。
- In the template there is a {%csrf_token%} template tag inside each POST form that targets an internal URL
确实如此,但这就是拥有 csrf 令牌的全部意义吗?
- If you are not using
CsrfViewMiddleware, then you must usecsrf_protecton any views that use thecsrf_tokentemplate tag, as well as those that accept the POST data.
根据文档,这是默认激活的。
那么为什么它有时会触发(很少)?
既然你说错误只是偶尔出现,我认为问题可能是你打开了带有表单的页面,在另一个选项卡上登录,然后提交了表单。
这会导致错误,因为 csrf 令牌会在您登录时更新。不幸的是,您对此无能为力。
您是动态呈现表单还是类似的? Django 只会用隐藏的输入字段替换 {% csrf_token %} 并在该标记从一开始就出现在模板中时注入 csrftoken cookie。
首先尝试用以下方法装饰您的视图:
from django.views.decorators.csrf import ensure_csrf_cookie
@ensure_csrf_cookie
def index(request):
return render(request, 'index.html')
这将始终注入 cookie。
如果您确实在动态操作表单,则需要使用 csrftoken cookie 手动检索 csrf 令牌,然后使用隐藏字段(额外请求参数)或 header,如文档中所述。