使用get请求工作的django ajax post请求中缺少csrf令牌
Django是一个基于Python的Web开发框架,它提供了一套完整的工具和库来帮助开发人员快速构建高效的Web应用程序。在Django中,为了防止跨站请求伪造(CSRF)攻击,需要在使用POST请求时包含CSRF令牌。
CSRF令牌是一种安全机制,用于验证请求是否来自合法的源。它通过在每个表单中包含一个唯一的令牌来实现。当用户提交表单时,Django会验证令牌的有效性,如果令牌无效,则拒绝请求。
对于使用GET请求的情况,不需要包含CSRF令牌。因为GET请求是幂等的,不会对服务器端产生任何副作用。而POST请求可能会对服务器端进行修改,因此需要进行CSRF保护。
如果在使用Django的Ajax POST请求中缺少CSRF令牌,可以通过以下步骤来解决:
- 在前端页面中获取CSRF令牌:Django提供了一个模板标签
{% csrf_token %}用于生成CSRF令牌。在前端页面的表单中,可以使用该标签生成一个隐藏的input字段,例如: - 在前端页面中获取CSRF令牌:Django提供了一个模板标签
{% csrf_token %}用于生成CSRF令牌。在前端页面的表单中,可以使用该标签生成一个隐藏的input字段,例如: - 在Ajax请求中包含CSRF令牌:在发送Ajax POST请求时,需要将CSRF令牌作为请求的一个参数或者头部信息发送给服务器。可以通过以下两种方式来获取CSRF令牌并添加到请求中:
- 作为参数添加到请求中:
- 作为参数添加到请求中:
- 作为头部信息添加到请求中:
- 作为头部信息添加到请求中:
需要注意的是,以上代码中的/your-url/应替换为实际的后端处理URL。
推荐的腾讯云相关产品:腾讯云服务器(CVM)和腾讯云数据库(TencentDB)。
- 腾讯云服务器(CVM):提供弹性、安全、可靠的云服务器,适用于各种规模的应用程序和业务场景。详情请参考:腾讯云服务器产品介绍
- 腾讯云数据库(TencentDB):提供高性能、可扩展的数据库服务,包括关系型数据库(MySQL、SQL Server、PostgreSQL)和非关系型数据库(MongoDB、Redis)。详情请参考:腾讯云数据库产品介绍
以上是关于使用GET请求工作的Django Ajax POST请求中缺少CSRF令牌的解决方法和相关腾讯云产品的介绍。希望对您有所帮助!
相关·内容
2回答
如果缺少cookie,则忽略HTTP_X_CSRFTOKEN头
django、django-csrf、django-1.6
我有AJAX代码,它向Django 1.6.4应用程序发出POST请求。视图通过django.middleware.csrf.CsrfViewMiddleware启用了CSRF保护。如果我没有传递cookie,但确实传递了HTTP_X_CSRFTOKEN,则它将失败。
我正在查看django.middleware.csrf.CsrfViewMiddleware的代码,我看到在第161行中,它检查从cookie中获得它后是否有if csrf_token is None:。如果是零,它就会回来。直到之后,它才会检查csrfmiddlewaretoken参数和HTTP_X_CSRFTOKEN请求头。
浏览 7提问于2014-07-16得票数 3
1回答
为什么DRF显示禁止(CSRF曲奇没有设置。)没有@api_view(['POST'])?
reactjs、django、django-rest-framework、axios
我正在学习react,并尝试使用django-rest框架(后端)和react(前端)生成登录表单。在function中,我创建了一个登录表单,当我提交该表单时,它会向我的视图函数发送一个axios.post。问题是django引发了一个错误,消息是:禁忌( cookie未设置)。
Obs1 1:如果我包括de @api_view('POST')装饰师,但我想知道是否有可能在没有它的情况下发出请求。
Obs2:当我的react呈现时,调用了一个创建csrf_token的函数,因此发送了csrf_token,但是django没有读取
Obs3: My django在 ,reac
浏览 2提问于2021-12-28得票数 0
1回答
csrfmiddlewaretoken令牌和csrftoken之间的关系是什么?
django、csrf
我和Django一起创建了一个网站,并问了一些关于CSRF的问题。我使用django.middleware.csrf.CsrfViewMiddleware并在POST表单中添加<form action="" method="post">{% csrf_token %}。
当我测试网站时:
GET / HTTP/1.1
Host: 123.207.137.168:8000
然后,我有饼干
Set-Cookie:csrftoken=Ev8veOH89vFDnG3a0GJUsMXA1oGZXxqXRw2nFWiKrvZ9UE10niTlZCiOxdnoKf
浏览 10提问于2017-12-28得票数 8
1回答
添加csrf令牌后的adding 403 forbbiden
jquery、ajax、django、angularjs、post
我试图对我的django后端做一个ajax帖子,我得到了"error 403,forbbiden",使用AngularJS作为前端。
我知道我必须通过我的post数据发送csrf令牌,但是django视图没有检测到它。
自从在我的表单中使用'{%csrf_token%}‘,在我的ajax数据中使用{{csrf_token}}以来,我已经尝试了一切,但仍然得到了相同的错误。
View.py
from django.views.decorators.csrf import *
def getCookie(request):
if request.method == &
浏览 2提问于2015-05-18得票数 0
1回答
为什么csrftoken cookie有效?
django、django-csrf
我正在从Django 1.4.3升级到Django 11.3。
我有一个网页与2个不同的形式。这两个表单都加载了{%csrf_token%}。流程是-用户使用表单1( ajax )登录,然后显示第二个表单。用户在第二个表单中输入数据并使用ajax提交。现在,如果我这样做了(在Django 1.4.3下工作),这个请求就会失败-
csrfmiddlewaretoken = $form.find('input[name="csrfmiddlewaretoken"]').val();
现在,为了解决这个问题,我从cookie获取csrftok值,并将cookie作为a
浏览 13提问于2017-07-28得票数 0
2回答
Django:使用AJAX登录,我应该如何更新表单的CSRF令牌?
python、django、ajax
上下文:
我正在从事的一个公司项目是使用AJAX登录用户在网页上的某些操作。可以在不登录的情况下查看此网页,但某些操作需要身份验证(比如更新硬件设置)。我希望保留用户当前的表单,这样他们就不必重新输入他们的更改(我目前正在通过隐藏表单和覆盖一个“登录”表单来实现),所以刷新页面不是一种选择,或者至少是最后的选择。
问题:
登录完成后,第一个表单的CSRF令牌现在无效,需要更新。这不是“如何向AJAX请求添加CSRF令牌”,而是“如何更新它”。
Django在登录后抛出以下错误:Forbidden (CSRF token from POST incorrect.)
,这是我已经尝试过的:
登录后
浏览 4提问于2021-12-27得票数 0
1回答
包含两种形式将如何影响我的CSRF令牌使用?
django、post、django-csrf
我正在尝试创建一个包含两个表单的页面:一个表单在页面加载时可见(一个登录表单),另一个表单在用户单击按钮(注册表单)时以模式显示。
我正在使用Django,虽然我还在想如何处理这些表单,但我最关心的是CSRF令牌将如何在这一切中发挥作用。例如,我应该只在一个<form></form>标记中使用{% csrf_token %},还是应该将它放在两个标记中?
此外,如果我在两种形式下都使用它,这会以任何方式影响我在服务器上的帖子吗?目前,我正在获取表单中的数据(取决于单击了哪个提交按钮),并以这种方式进行POSTing:
var data={
'userna
浏览 0提问于2013-07-09得票数 5
回答已采纳
1回答
Django 1.10
在文件中,我们可以读到:
虽然上面的方法可以用于AJAX POST请求,但它有一些不便之处:您必须记住将CSRF令牌作为POST数据与每个POST请求一起传递。
上述“上述方法”是关于向窗体中添加{% csrf_token %}。
文件中说,更方便的可能是:
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.aj
浏览 1提问于2016-09-05得票数 0
回答已采纳
2回答
csrftoken和csrf_token输入类型在django中都需要吗?
python、django、cookies
当我们必须在每个表单提交中发送csrftoken-cookie时,在django中使用的是{% csrf_token %}。
<form method="post" action="actionFile/">
{% csrf_token %}
<button>Submit</button>
</form>
Django处理器总是请求{% csrf_token %}
我们必须把{% csrf_token %}放在每一种形式吗,django处理器不能利用csrftoken-cookie吗?
可能需要{% csrf_
浏览 5提问于2014-05-30得票数 1
回答已采纳
1回答
如何向Django提交localStorage数据?
javascript、jquery、django
我在localStorage中有数据,我想通过POST请求将它连同userid一起提交给Django。我该怎么做呢?
1)发送Ajax请求:它需要csrf令牌,而我无法使其有效。
function submitData() {
// send result to server
var data = localStorage.getItem("groups");
var userid = {{user.userid}};
console.log(data);
$.ajax({
url:"/interface/submi
浏览 4提问于2015-03-10得票数 0
2回答
如何使用django将json序列化数据从表单发送到ajax
ajax、django
目前,我正以这种方式通过代码发送数据,它正在工作,但是如何用json发送整个表单呢?
代码:
$.ajax({
url : window.location.href, // the endpoint,commonly same url
type : "POST", // http method
data : { csrfmiddlewaretoken : csrftoken,
email : email,
password : password,
username :
浏览 2提问于2017-06-11得票数 0
回答已采纳
1回答
在另一个站点的iframed视图中未设置CRSF cookie
django、weebly
我有一个Django应用程序,有十几个,我现在托管在Heroku上。当我直接访问应用程序url时,我可以很好地将请求发送到应用程序,并且我启用了'django.middleware.csrf.CsrfViewMiddleware‘。我在运行Django 2.1
我目前有一个问题,我试图嵌入这个Django应用程序在一个iframe,在另一个网站,我主持的Weebly。在任何Django表单上做帖子时,我总是会得到一个403错误。原因是"CSRF cookie未设置“。
我正在通过Ubuntu上的Chrome做这件事。我检查了Developer控制台中的Applications选
浏览 0提问于2018-10-31得票数 1
2回答
设置了csrfmiddlewaretoken和csrftoken cookie的Ajax POST仍然得到django 403禁止
ajax、django-csrf、csrf-protection
我读到csrfmiddlewaretoken和csrftoken cookie都必须是django POST请求成功的正确值()。这就是我的情况,但我仍然得了403分:
在chrome控制台中:
document.cookie
返回
"csrftoken=Wt9eeJop5Vb3OmeNTvogegckm1pVM5MD"
但
$.get('https://learningdollars.fwd.wf/csrftoken/', function(data){
console.log(data)
token = $.parseHTML(data)[0
浏览 2提问于2014-10-06得票数 2
回答已采纳
1回答
将CSRF令牌添加到请求标头时,无法读取未定义的属性'value‘
javascript、django
我尝试将CSRF令牌添加到请求标头,但返回错误: TypeError: Cannot read property 'value' of undefined 在我的django模板中,我添加了{% csrf_token %},我的函数如下所示: addFavorites (id) {
return fetch(`/favorites`, {
method: 'POST',
headers: {
'Content-Type': 'application/json',
浏览 14提问于2020-09-12得票数 0
回答已采纳
2回答
使用javascript从页面获取csrf令牌
javascript、html
我正在尝试使用javascript从Django powered网页中提取csrf令牌。
我的html模板如下所示:
<div class = "debugging">
<p id = "csrf">{% csrf_token %}</p>
</div>
当我使用下面的脚本时,我可以在控制台中看到令牌值,但不能实际提取它:
<script>
var csrfToken = document.getElementById("csrf");
console.log(csrfToken.i
浏览 108提问于2018-10-08得票数 1
回答已采纳
4回答
以编程方式登录使用Cypress.io的Django服务器(不使用UI)
django、cypress
一定是错过了一些明显的东西,但我非常坚持登录到Django,因为它的CSRF保护。
我看上去像,但如果它建议的第一件事是禁用CSRF,那就没有多大帮助了。
Django想要什么
这是一个正常的、受CSRF保护的Django登录视图在其传入的POST数据中所期望的:
csrfmiddlewaretoken=Y5WscShtwZn3e1eCyahdqPURbfHczLyXfyPRsEOWacdUcGNYUn2EK6pWyicTLSXT
username=guest
password=password
next
它没有在请求头中查找CSRF,也没有在响应头上设置x-csrf-token。
浏览 0提问于2018-02-16得票数 8
试着学习安全知识。出于好奇为什么在django中提交表单( POST)时,有两个单独的“元素”包含相同的csrf令牌值:
- the csrftoken cookie:
COOKIES:{'csrftoken': '1effe96056e91a8f58461ad56c0d4ddc', ...
- the Form's hidden csrfmiddlewaretoken:
POST:<QueryDict: {u'csrfmiddlewaretoken':
[u&#
浏览 6提问于2011-04-07得票数 24
回答已采纳
2回答
使用fetch post请求进行正确的Django CSRF验证
javascript、django、django-csrf、fetch-api
我正在尝试使用JavaScript的库向我的Django应用程序提交表单。然而,无论我做什么,它仍然抱怨CSRF验证。
关于Ajax的文档提到了指定,我已经尝试过了。
我还尝试获取并将其添加到表单数据中。
这两种方法似乎都行不通。
下面是包含表单值和页眉的基本代码:
let data = new FormData();
data.append('file', file);;
data.append('fileName', file.name);
// add form input from hidden input elsewhere on the page
d
浏览 0提问于2017-04-25得票数 15
回答已采纳
2回答
Unity Web Request + Django: CSRF令牌缺失或不正确
django、unity3d、csrf、django-csrf
我从Django收到了一个错误,"CSRF令牌丢失或不正确“,以及它的标准错误消息。当您使用标准浏览器和Django服务器时,许多其他问题已经涵盖了正确的响应,但我正在尝试让UnityWebRequest很好地使用Django。
从概念上讲,我有两个步骤。首先,我在登录页面上调用GET请求,从表单中解析出csrfmiddlewaretoken,并从set-cookie头中解析出csrftoken。
然后,我创建了第二个cookies,在UnityWebRequest中包含"referer“作为标头,并将csrftoken作为标头。我会在表单中添加用户名、密码和csrfmiddl
浏览 3提问于2018-05-13得票数 2
3回答
ajax - Ajax代码不执行
javascript、jquery、ajax、django
我正在学习Ajax,我遇到了一个小问题。
我正在尝试使用ajax向django后端提交POST请求。即使是警报也不会显示在屏幕上。正如我在测试django服务器shell中看到的,它甚至不提交POST请求。
代码:
<script type="text/javascript">
$('#btnLike').on('click', function(event) {
alert('ok');
$.ajax({
type: 'POST',
url
浏览 1提问于2016-12-30得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
