Django - 没有令牌的帖子没有 CSRF 错误
Django - No CSRF error for posts without token
我正在使用 Django 托管 React 应用程序。我在 Django 中添加了 CSRF 保护中间件。我尝试通过使用 Postman 发送 http post 来测试它,但 header 中没有 x-csrftoken。令我惊讶的是,我没有得到 403,但我能够在没有 x-csrftoken 的情况下获取数据。这怎么可能?
您可以在下面找到我的 CSRF 设置。我的其他 Django 设置非常简单,包括 CORS。
...
# Cross Origin Resource Sharing Protection
CORS_ALLOWED_ORIGINS = [
'http://127.0.0.1:3000',
]
CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
# Cross Site Request Forgery Protection
CSRF_TRUSTED_ORIGINS = []
MIDDLEWARE = [
...
'django.middleware.csrf.CsrfViewMiddleware',
]
如果您使用的不是 SessionAuthentication CSRF will be disabled. In the docs。
我正在使用 Django 托管 React 应用程序。我在 Django 中添加了 CSRF 保护中间件。我尝试通过使用 Postman 发送 http post 来测试它,但 header 中没有 x-csrftoken。令我惊讶的是,我没有得到 403,但我能够在没有 x-csrftoken 的情况下获取数据。这怎么可能? 您可以在下面找到我的 CSRF 设置。我的其他 Django 设置非常简单,包括 CORS。
...
# Cross Origin Resource Sharing Protection
CORS_ALLOWED_ORIGINS = [
'http://127.0.0.1:3000',
]
CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
# Cross Site Request Forgery Protection
CSRF_TRUSTED_ORIGINS = []
MIDDLEWARE = [
...
'django.middleware.csrf.CsrfViewMiddleware',
]
如果您使用的不是 SessionAuthentication CSRF will be disabled. In the docs。