不使用CORS或CSRF令牌设置React/DRF
不使用CORS或CSRF令牌设置React/DRF是指在React前端和DRF(Django REST Framework)后端开发中,不使用CORS(跨源资源共享)或CSRF(跨站请求伪造)令牌来进行设置和处理。
CORS是一种机制,用于允许不同源的网页请求访问服务器上的资源。在React/DRF开发中,如果前端React应用和后端DRF API不在同一个域下(例如,前端运行在localhost:3000,后端运行在localhost:8000),默认情况下,浏览器会阻止跨域请求。为了解决这个问题,可以在DRF后端进行CORS设置,允许特定的源访问API。
CSRF是一种攻击方式,攻击者通过伪造用户的请求来执行恶意操作。为了防止CSRF攻击,通常会在前端设置CSRF令牌,并在每个请求中包含该令牌,后端验证令牌的有效性。
然而,如果不使用CORS或CSRF令牌设置React/DRF,可能会存在一些安全风险。因此,建议在实际开发中使用CORS和CSRF令牌来增加安全性。
以下是使用CORS和CSRF令牌设置React/DRF的步骤:
- 后端设置CORS:
- 安装
django-cors-headers库:pip install django-cors-headers - 在Django项目的
settings.py文件中添加以下配置: - 在Django项目的
settings.py文件中添加以下配置:
- 安装
- 前端设置CORS:
- 安装
axios库:npm install axios - 在前端React应用的请求中添加以下代码:
- 在前端React应用的请求中添加以下代码:
- 安装
- 后端设置CSRF:
- 在Django项目的
settings.py文件中添加以下配置: - 在Django项目的
settings.py文件中添加以下配置: - 在前端React应用中,使用
django-react-csrftoken库来获取和设置CSRF令牌: - 在前端React应用中,使用
django-react-csrftoken库来获取和设置CSRF令牌: - 在后端DRF视图中,可以使用
@csrf_exempt装饰器来取消CSRF验证: - 在后端DRF视图中,可以使用
@csrf_exempt装饰器来取消CSRF验证:
- 在Django项目的
请注意,上述步骤仅为示例,实际应根据具体情况进行适当调整。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云官网:https://cloud.tencent.com/
- 云服务器(CVM):https://cloud.tencent.com/product/cvm
- 云数据库 MySQL 版:https://cloud.tencent.com/product/cdb-for-mysql
- 云原生应用引擎(TKE):https://cloud.tencent.com/product/tke
- 云存储(COS):https://cloud.tencent.com/product/cos
- 人工智能(AI):https://cloud.tencent.com/product/ai
- 物联网(IoT):https://cloud.tencent.com/product/iotexplorer
- 移动开发(移动推送、移动分析、移动测试等):https://cloud.tencent.com/product/mobile
- 区块链(BCS):https://cloud.tencent.com/product/bcs
- 元宇宙(Tencent XR):https://cloud.tencent.com/product/xr
相关·内容
2回答
不使用CORS或CSRF令牌设置React/DRF
reactjs、django、django-rest-framework、csrf-token、django-cors-headers
我在YouTube上看过一个很棒的教程,里面的react是用DRF手动设置的。在整个教程中,根本没有使用csrf令牌和django-cors-headers。我正在尝试使用npx create-react-app来实现同样的功能,但是使用这种方式,csrf令牌和cors会成为一个问题。我怎样才能用我的drf/react
浏览 29提问于2021-03-20得票数 0
回答已采纳
1回答
React + Django的最佳安全实践
django、reactjs、security、django-rest-framework、django-cors-headers
我目前正在开发一个使用Django服务器和运行React的NodeJS服务器的项目。在开发过程中,我们在端口8000上运行Django,在端口8080上运行NodeJS,目前React负责呈现页面并与Django API交互,Django API为React提供数据。为了响应对Django API的调用,我们启用了Django中的CORS,因为它们位于不同的端口上。
允许所有CORS在生产中安全吗?如果Django不使用模板系统,站点是否仍然受到默认
浏览 2提问于2018-01-18得票数 3
1回答
在基于会话的CSRF中使用Django REST框架
django、django-rest-framework、csrf
我在一个不能使用基于cookie的CSRF令牌的环境中使用Django + Django REST框架;因此,我必须使用CSRF_USE_SESSIONS = True运行。这似乎是通过读取csrftoken cookie并在后续请求上设置X-CSRFToken头来设置的,如果请求主体中不包含隐藏字段,则django.middleware.csrf.CsrfViewMiddleware.process_view这是在
浏览 0提问于2018-09-22得票数 4
回答已采纳
3回答
用TokenAuthentication作为唯一的方法请求CSRF令牌
python、django、django-rest-framework
我唯一的DRF系统是TokenAuthentication,它仍然要求一个基于函数视图的CSRF令牌。我对基于类的观点没有这个问题。应邮递员的要求:[04/Nov/2020 02:05:38] "POST /rest/submit_vote
浏览 4提问于2020-11-04得票数 1
1回答
如何保护使用JWT作为身份验证的使用DRF创建的API的CSRF登录点和寄存器端点(视图)?
django、authentication、django-rest-framework、jwt、csrf
因此,我读到是否需要保护它免受CSRF的影响:·基本上,如果浏览器不进行自动身份验证(使用会话或某种cookie),则CSRF漏洞的可能性很小。这种方法是通过在“授权”头中使用JWT的Bearer令牌来实现的。有一些公共端点不需要身份验证,所以我在DRF设置中
浏览 5提问于2021-12-27得票数 1
回答已采纳
1回答
Django -没有令牌的posts没有CSRF错误
django、http、csrf、django-csrf
我正在使用Django托管一个React应用程序。我在Django中添加了CSRF保护中间件。我尝试通过使用Postman发送http post来测试它,在报头中没有x- with令牌。令我惊讶的是,我没有得到403,但我能够在没有x- data令牌的情况下获得数据。这怎麽可能?下面是我的CSRF设置。我的附加Django设置非常简单,并且包含CORS。.
# Cross Origin Resource Sharin
浏览 33提问于2020-12-22得票数 0
回答已采纳
1回答
我们可以在报头请求中设置一个定制的CSRF令牌来生成CSRF PoC吗?
vulnerability、csrf
我试图为我发现的CSRF问题创建一个PoC。请求在请求头中包含CSRF令牌,问题是服务器端只检查令牌是否可用,而不检查它是否属于当前用户会话。我试图通过设置一个自定义头来使用我的令牌(因为服务器不验证CSRF令牌)来使用我的令牌覆盖CSRF令牌,从而使用XmlHttpRequest创建CSRF令牌</e
浏览 0提问于2022-10-12得票数 1
回答已采纳
1回答
Django DRF with React:如何获取CSRF cookie?
django、reactjs、django-rest-framework、csrf
我在frontend.example.com上运行了一个React前端,在backend.example.com上运行了一个Django后端。我正在使用Django Session Authentication,我想正确地实现CSRF protection。 以React登录页面frontend.example.com/login为例。据我所知,CSRF令牌cookie应该已经包含在这个请求中了,对吧? 如何从Django后台获取CSRF令牌
浏览 22提问于2020-05-02得票数 0
1回答
从任何源使用Django Rest
django、rest、authentication、csrf、rest-client
我有一个使用Django DRF实现的REST。CSRF_COOKIE_NAME="XSRF-TOKEN"CSRF_TRUSTED_ORIGINS........DK7
浏览 2提问于2019-08-28得票数 0
1回答
如果一个网站对所有的帖子请求使用XHR,并且服务器正确地检查CORS,那么它是否仍然处于CSRF的危险之下?
security、post、xmlhttprequest、cors、csrf
说有一个网站,它
服务器也有适当的CORS配置,它不接受任何请求,而只接受自己的请求。那么,这个网站还可能面临CSRF的潜在危险吗?
浏览 4提问于2016-05-20得票数 0
2回答
让Django、VUE、CORS和CSRF使用一个真实的例子
django、vue.js、django-rest-framework、django-csrf、django-cors-headers
安装: django-cors-headers -rest框架drf-嵌套路由器.和其他人CORS_ALLOW_CREDENTIALS = True '*.websitename.com',我的CSRF设置是:
CSRF
浏览 3提问于2019-02-22得票数 8
1回答
开发环境中的阻塞集-Cookie DRF SessionAuthentication + React
reactjs、django、django-rest-framework、cors、csrf
我有一个DRF + React应用程序,最近我将它从令牌身份验证更改为服务器端过期的会话身份验证。在生产中,这很好用,登录时我会收到两个Set-Cookies,一个会话id和一个csrftoken。CORS_ALLOWED_ORIGINS中设置了一个旧的cookie。,如果我登录127.0.0.1,我会得到一个包含CSRF丢失或不正确的403。它是在CSRF_TRUSTED_ORIGINS中列出的,我在localhost.上找不到这个。Cookie&#
浏览 5提问于2021-01-05得票数 2
回答已采纳
1回答
Sails1.4.0从React应用程序发送的CSRF令牌被拒绝403
reactjs、axios、sails.js、csrf、csrf-token
我正在本地主机上运行一个Sails应用程序:1337,在本地主机上运行一个创建-react:3000。然而,在反应中,我收到了令牌,但当我提交post请求登
浏览 8提问于2021-03-10得票数 1
1回答
使用TokenAuthentication和AllAuth中的SocialAuthentication
django、django-rest-framework、django-allauth、django-rest-auth
令牌身份验证是成功的(使用以下语法:Authorization: Token <token> )。但是,我无法让它与SocialAuthentication一起工作。corsheaders.middleware.CorsMiddleware', 'django.middleware.csrf.CsrfViewMiddlewareOLD_PASSWORD_FIELD_ENABLED =
浏览 18提问于2022-08-22得票数 0
回答已采纳
1回答
为什么我的DRF视图接受在标头中没有csrf令牌的post请求?
django、django-rest-framework、csrf
我刚刚开始使用Django Rest框架,我对CSRF令牌在请求中的使用有点困惑。例如,在下面的请求中使用标准Django视图需要一个CSRF令牌: method: "POST","X-CSRFToken": Cookies.get("csrftoke
浏览 4提问于2022-08-18得票数 0
回答已采纳
1回答
从Django服务器请求reactjs时出错(403错误/ CORS)
reactjs、django、django-rest-framework、cors、django-cors-headers
我有一个reactjs项目,它使用API向django-rest框架发出请求。它以前很好,但我不知道是什么让它停止工作。 'django.middleware.common.CommonMiddleware',]
Referrer Policy: strict-
浏览 2提问于2021-10-05得票数 0
1回答
尽管继承了Generic和CSRF中间件,却没有验证Django CSRF令牌
django、django-rest-framework、django-views、csrf、django-csrf
我在DRF视图上有一个POST请求,它继承了中间件中启用的generics.CreateAPIView和CSRF,但是尽管它没有验证我的CSRF令牌,但我不知道为什么不?'DEFAULT_PERMISSION_CLASSES': ( ),CSRF设置:
CSRF_COOKIE_SECURE =
浏览 1提问于2021-02-07得票数 0
1回答
Django Rest框架
python、django、django-rest-framework、jwt、auth-token
我正在使用Django Rest Framework为我的应用程序构建API,并希望实现DjangoRestFramework来进行令牌身份验证。终端输出是大量的html,表示没有提供csrf_token。代码和错误在下面。非常感谢你的帮助。curl -X POST -d "username=admin&password=123abc" http://127.0.0.1:8000/api/token/auth/<!
浏览 1提问于2015-07-29得票数 7
回答已采纳
1回答
Django CORS CSRF_TRUSTED_ORIGINS不工作
python、django、django-rest-framework、django-cors-headers
我正在从事一个DRF (Django项目),其中我的后端django rest托管在服务器上,我的ReactJS前端也托管在同一台服务器上。设置是: "https://samplefrontend.tech", 'dnt',
浏览 2提问于2022-04-18得票数 2
1回答
弹簧PostMapping返回401无车身
spring、spring-mvc、spring-boot、spring-restcontroller、spring-rest
@ResponseBody // WRITE AND RETURN如果我试图向这个服务发出一个post请求,即使我传递了一个有效的令牌
浏览 0提问于2018-10-10得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
