django CSRF_TRUSTED_ORIGINS没有按预期工作
django CSRF_TRUSTED_ORIGINS没有按预期工作
提问于 2021-12-28 14:39:26
我很难理解为什么来自第三方网站的帖子被拒绝了,即使该网站被添加到CSRF_TRUSTED_ORIGINS列表中的settings.py。在声明csrf检查失败的帖子之后,我收到了一个403错误。我认为将站点添加到CSRF_TRUSTED_ORIGINS应该使站点免于csrf检查。我还应该做些什么才能收到来自外部的邮件请求吗?我在运行django 3.2
CSRF_TRUSTED_ORIGINS = ['site.lv']请求头:
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9,lv;q=0.8,ru;q=0.7
Cache-Control: no-cache
Connection: keep-alive
Content-Length: 899
Content-Type: application/x-www-form-urlencoded
Host: cvcentrs-staging.herokuapp.com
Origin: https://www.site.lv
Pragma: no-cache
Referer: https://www.site.lv/
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="96", "Microsoft Edge";v="96"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36 Edg/96.0.1054.62Stack Overflow用户
回答已采纳
发布于 2021-12-29 10:39:12
这种假设是错误的:
我认为将站点添加到CSRF_TRUSTED_ORIGINS应该使站点免于csrf检查。
向CSRF_TRUSTED_ORIGINS添加URL只是允许外部域上的表单发出POST请求所需做的一件事。你还需要:
https://www.stackhawk.com/blog/django-cors-guide/).
- 从外部页面发出AJAX调用以获取
csrf_token,并将令牌与POST请求一起发送。
从Django 4.0开始,您必须在CSRF_TRUSTED_ORIGINS中包含该方案
CSRF_TRUSTED_ORIGINS = ['https://site.lv', 'https://www.site.lv']页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/70508568
复制相关文章
相似问题
腾讯云开发者
