如何在Django中为CSRF_TRUSTED_ORIGINS设置通配符?
如何在Django中为CSRF_TRUSTED_ORIGINS设置通配符?
提问于 2022-01-12 10:00:27
在从Django 2更新到Django 4.0.1之后,我将得到所有POST请求的CSRF错误。日志显示:
"WARNING:django.security.csrf:Forbidden (原产地检查失败- https://127.0.0.1不匹配任何可信来源):/activate/“
我不知道如何为CSRF_TRUSTED_ORIGINS设置通配符?我有一个服务器发送给客户谁主机在他们自己的领域,所以没有办法让我没有来源之前的手。我在没有运气的情况下尝试了以下几种方法:
CSRF_TRUSTED_ORIGINS = ["https://*", "http://*"]和
CSRF_TRUSTED_ORIGINS = ["*"]在https://127.0.0.1中显式地设置“CSRF_TRUSTED_ORIGINS”可以工作,但是在我的客户的生产部署中不能工作,这会得到另一个主机名。
回答 2
Stack Overflow用户
回答已采纳
发布于 2022-01-12 23:10:15
Django应用程序在NGINX后面使用Gunicorn运行。因为SSL是在NGINX request.is_secure()返回false后终止的,这会导致原产地标头与这里的主机不匹配:
我通过在Django中添加以下内容解决了这个问题:
SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')并确保NGINX在我的NGINX conf中转发http方案如下:
proxy_set_header X-Forwarded-Proto $scheme;Stack Overflow用户
发布于 2022-01-12 10:10:12
是的,它在4.0版本中发生了变化,如您在这里看到的这里
在Django 4.0中更改: 旧版本中的值必须只包含主机名(可能带有前导点),而不包括方案或星号。 此外,在旧版本中不执行older检查。
注意:您不应该在生产中使用*。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/70679571
复制相关文章
相似问题
腾讯云开发者
