Django Rest框架ModelViewSet视图看不到来自数据表的CSRFToken
Django Rest框架的ModelViewSet视图无法直接获取来自数据表的CSRFToken。这是因为Django Rest框架默认情况下不支持使用CSRFToken进行身份验证。
CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的网络安全攻击方式,用于欺骗用户在已登录的网站上执行非预期的操作。为了防止这种攻击,Django引入了CSRFToken机制。
在Django中,CSRFToken是通过在每个表单中插入一个隐藏字段来实现的。当用户提交表单时,Django会验证该字段的值与用户会话中的CSRFToken是否匹配,以确保请求是合法的。
然而,Django Rest框架主要用于构建API,而API通常是无状态的,不会使用表单来进行数据提交。因此,默认情况下,Django Rest框架不会自动为API视图生成CSRFToken。
如果你需要在Django Rest框架中使用CSRFToken进行身份验证,可以手动添加CSRFToken到请求头中。可以通过以下步骤来实现:
- 在前端代码中获取CSRFToken:可以通过Django提供的模板标签
{% csrf_token %}来获取CSRFToken,并将其存储在变量中。 - 在发送API请求时,将CSRFToken添加到请求头中:在发送API请求时,将获取到的CSRFToken添加到请求头的
X-CSRFToken字段中。
以下是一个示例代码,展示了如何在前端使用JavaScript获取CSRFToken,并将其添加到API请求的请求头中:
// 获取CSRFToken
var csrfToken = document.getElementsByName('csrfmiddlewaretoken')[0].value;
// 发送API请求
var xhr = new XMLHttpRequest();
xhr.open('GET', '/api/endpoint', true);
xhr.setRequestHeader('X-CSRFToken', csrfToken);
xhr.send();需要注意的是,上述示例中的/api/endpoint应该替换为你实际的API端点。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云服务器(CVM):提供可扩展的云服务器实例,适用于各种规模的应用程序和工作负载。详情请参考:https://cloud.tencent.com/product/cvm
- 腾讯云数据库(TencentDB):提供高性能、可扩展的数据库解决方案,包括关系型数据库(MySQL、SQL Server等)和NoSQL数据库(MongoDB、Redis等)。详情请参考:https://cloud.tencent.com/product/cdb
- 腾讯云对象存储(COS):提供安全、可靠、低成本的云端存储服务,适用于存储和处理各种类型的文件和媒体资源。详情请参考:https://cloud.tencent.com/product/cos
- 腾讯云人工智能(AI):提供丰富的人工智能服务和解决方案,包括图像识别、语音识别、自然语言处理等。详情请参考:https://cloud.tencent.com/product/ai
相关·内容
1回答
腾讯云API网关怎么无法restful?? 新增里面只能填写网关名和描述,其他文档的设置选项全都没?
云 API、api、云函数、serverless
腾讯云API网关怎么无法restful?? 新增里面只能填写网关名和描述,其他文档的设置选项全都没
调用scf函数也是默认的直接调用函数名,,根本不需要restful的吗== =???
浏览 545提问于2020-06-02
4回答
利用腾讯云GPU构建深度学习网络?
对象存储、深度学习
如题,本人(学生)想用腾讯云构建一个实验性的深度学习网络,具体要用到腾讯云的哪些服务呢?(GPU,COS),另外还需考虑较低的成本。。。
浏览 1125提问于2017-12-13
3回答
智能联想的使用示例呢?详见API/SDK使用?? 没有啊,示例代码也没有?
云 API、官方文档
智能联想的使用示例呢?详见API/SDK使用?? 没有啊,示例代码也没有
标题:智能联想 - 云搜 - 文档首页 - 腾讯云文档平台 - 腾讯云
地址:https://cloud.tencent.com/document/product/270/1201
浏览 424提问于2018-03-13
1回答
如何使用会话身份验证向Django Rest框架发出HTTP请求?
python、django、cookies、django-rest-framework
我正在尝试访问一个由DRF的保护的API端点。这需要在请求头中传递cookie,这是我在之后完成的,如下所示:
import * as Cookies from "js-cookie";
var csrftoken = Cookies.get('csrftoken');
fetch('/api/myendpoint', { headers: { 'X-CSRFToken': csrftoken }})
.then(response => ...)
我在我的settings.py中打开了会话身份验证,如下所示:
REST
浏览 3提问于2017-02-27得票数 0
回答已采纳
1回答
如何作为API从Django检索/提供CSRF令牌
jquery、ajax、django、reactjs、django-csrf
我正在开发一个项目,它使用Django REST框架作为后端(假设在api.somecompany.com,但却有一个React.js前端(在www.somecompany.com)没有由Django提供请求。
因此,我不能使用Django的传统方法让模板包含像这个<form action="." method="post">{% csrf_token %}那样的CSRF令牌
我可以向Django REST框架的api-auth\login\ url发出请求,它将返回这个标头:Set-Cookie:csrftoken=tjQfRZXWW4GtnWfe
浏览 2提问于2015-08-03得票数 8
回答已采纳
1回答
从Django检索用户密码并作为变量传递到Django REST
django、django-rest-framework
我有一个Django支持的web应用程序,它也使用Django REST框架。我想使用Django REST生成的API读写我的数据库。当我硬编码当前用户的密码时,我可以成功地做到这一点,但当我试图从Django传入检索到的密码时,我无法做到这一点,因为Django并不将密码存储为纯文本。(我知道我可以改变这一点,但我希望有更好的方法)。
本质上,我的逻辑流程是:
用户使用Django登录表单登录
用户希望将新数据写入数据库,但需要API令牌。
获取API令牌(注册时已经生成)
使用此令牌对JSON数据进行身份验证并将其发布到REST框架
当我在脚本中将密码硬编码为纯文
浏览 0提问于2018-10-08得票数 0
3回答
您好,调用“唇语活体检测视频身份信息核验”,总是报错这个。抓包看了看content-type和body没什么问题。不清楚问题处在了哪里?请指教。谢谢
标题:常见问题 - 智能图像服务 - 文档首页 - 腾讯云文档平台 - 腾讯云
地址:https://cloud.tencent.com/document/product/641/13215
浏览 652提问于2018-03-15
1回答
为什么DRF显示禁止(CSRF曲奇没有设置。)没有@api_view(['POST'])?
reactjs、django、django-rest-framework、axios
我正在学习react,并尝试使用django-rest框架(后端)和react(前端)生成登录表单。在function中,我创建了一个登录表单,当我提交该表单时,它会向我的视图函数发送一个axios.post。问题是django引发了一个错误,消息是:禁忌( cookie未设置)。
Obs1 1:如果我包括de @api_view('POST')装饰师,但我想知道是否有可能在没有它的情况下发出请求。
Obs2:当我的react呈现时,调用了一个创建csrf_token的函数,因此发送了csrf_token,但是django没有读取
Obs3: My django在 ,reac
浏览 2提问于2021-12-28得票数 0
1回答
在基于会话的CSRF中使用Django REST框架
django、django-rest-framework、csrf
我在一个不能使用基于cookie的CSRF令牌的环境中使用Django + Django REST框架;因此,我必须使用CSRF_USE_SESSIONS = True运行。
然而,DRF在所有交互中都依赖于此cookie。这似乎是通过读取csrftoken cookie并在后续请求上设置X-CSRFToken头来设置的,如果请求主体中不包含隐藏字段,则django.middleware.csrf.CsrfViewMiddleware.process_view()将使用该标题。这是在来自rest_framework.templates.rest_framework.base.html的代码中设
浏览 0提问于2018-09-22得票数 4
回答已采纳
6回答
如何将curl与Django、csrf令牌和POST请求一起使用
django、curl、django-forms、csrf、django-csrf
我正在使用curl测试我的一个Django表单。我尝试过的调用(每个调用都有错误,并且为了可读性在多行中):
(1):
curl
-d "{\"email\":\"test@test.com\"}"
--header "X-CSRFToken: [triple checked value from the source code of a page I already loaded from my Django app]"
--cookie "csrftoken=[same csrf value as above]"
浏览 1提问于2012-05-17得票数 53
4回答
数据比较多,有什么好点的存储方案吗?
对象存储、文件存储
贵州地区,给公司做类似企业网盘的东西,存储数据大概在6~7T左右,有没有好点的存储方案呢?我看腾讯云这边有COS、CFS等,我是从网站直接读取数据,推荐那个?有没有什么试用渠道呢?
浏览 964提问于2017-09-15
1回答
cookie在使用Django和CORS的AngularJS应用程序中消失
django、angularjs、cors、django-rest-framework、django-cors-headers
我正在用Django Rest框架和Django CORS头构建一个AngularJS应用程序作为后端API。
直到今天,一切都很顺利。突然,csrfcookie和sessionid cookie就不再出现在Chrome上了。
我看到API使用csrfcookie对我作出响应。Chrome没有在开发工具中显示它,但我在chrome://settings/cookies中看到了它。
AngularJS
$httpProvider.defaults.useXDomain = true;
$http.defaults.headers.post['X-CSRFToken'] = $co
浏览 4提问于2013-08-15得票数 3
回答已采纳
1回答
带有django后端的vuejs/reactjs/angularjs网站本地主机开发中的csrf和cors错误
django、reactjs、vue.js、webpack、django-rest-framework
我如何在本地主机上运行vuejs应用程序,并让它将其API调用发送到部署的django rest框架后端,而无需获得cors和csrf问题?
到目前为止,我有以下问题:
我无法从浏览器中读取cookie,因为它的域没有设置为localhost。我需要它来设置django的X-CSRFTOKEN头。
我得到CORS错误,因为本地主机与我的域(example.com)不是同一来源。
我得到了裁判不匹配的错误。
浏览 0提问于2019-09-15得票数 0
回答已采纳
7回答
怎么导出腾讯云服务器镜像并下载到本地?
导出的镜像,我能在本地环境正常使用么,我想把这个镜像再安装到我本地的电脑上,请问这个操作是都能成功
浏览 14485提问于2020-08-03
2回答
document.cookie中from内标识的值与Cookie中的from内标识不同
ajax、django、ember.js、django-rest-framework、csrf
我使用的是django rest框架。我有Ember前端。在这里,当我从Cookies.get(" csrftoken ")获取Here令牌时,它与我在浏览器cookie中看到的Here令牌不同。
截图如下:
注意Cookie中的csrftoken不同于X-csrftoken(由Cookies.get(“csrftoken”)设置)。
为什么它们是不同的?我需要他们两个都一样。请帮帮忙。
浏览 2提问于2016-07-08得票数 1
1回答
为什么我的DRF视图接受在标头中没有csrf令牌的post请求?
django、django-rest-framework、csrf
我刚刚开始使用Django Rest框架,我对CSRF令牌在请求中的使用有点困惑。例如,在下面的请求中使用标准Django视图需要一个CSRF令牌:
fetch("http://127.0.0.1:8000/api/add_item/", {
method: "POST",
headers: {
"Content-Type": "application/json"
// "X-CSRFToken": Cookies.get("csrftoken")
浏览 4提问于2022-08-18得票数 0
回答已采纳
1回答
Django Rest框架说CSRF验证失败了,尽管在axios头中包含了CSRF令牌
javascript、django、django-rest-framework、csrf、x-xsrf-token
下面是对django rest框架API进行调用的反应性代码:
import Cookies from 'js-cookie';
import axios from "axios";
async downloadVideowiseCSV (fromDate, toDate) {
var url = '/stat/getStats/';
const axiosInstance = axios.create();
try {
const response = await a
浏览 5提问于2022-09-09得票数 0
1回答
在执行POST时,CSRF令牌将在标头中传递。
django、vue.js、apollo
我要在Django上面建立VueJS SPA。我在/api上运行了Graphene端点,graphiql中的查询运行得很好。我已经设置了前端,我使用阿波罗客户端来查询服务器。这就是我的设置:
const CSRFtoken = Cookies.get('csrftoken')
const networkInterface = createNetworkInterface({
uri: '/api',
transportBatching: true
})
networkInterface.use([{
applyMiddleware (req, n
浏览 0提问于2017-07-02得票数 4
回答已采纳
1回答
如何保证硬盘中的数据安全?
云硬盘、数据安全、存储
云服务的基础依赖于硬件的设施,如硬盘等存储设备。当腾讯云的硬盘发生故障时,可能会需要进行替换或退役,那么在以下两种场景中,如何保证硬盘中的数据安全?
硬盘返厂维修并置换新硬盘;
硬盘无法使用,失去维修价值,决定销毁。
浏览 745提问于2020-03-09
2回答
Dj使用存储在HttpOnly cookies中的JWT令牌
django、cookies、django-rest-framework、jwt、dj-rest-auth
我正在使用存储在HttpOnly cookies中的令牌的JWT身份验证来制作Django Rest框架应用程序。身份验证是通过读取access cookie来执行的。为此,我使用了一个库,但我对这种方法的安全性方面有点困惑。知道将身份验证数据存储在cookie中可以用来执行CSRF攻击,那么在我前面描述的特定情况下,如何保护他们的web免受这种攻击呢?所有cookie都设置为SameSite=Lex。
我还需要发送从后端获取的X-CSRFTOKEN头吗?这意味着每个对api的请求都需要有这个头。拥有所有这些库的最佳设置应该是什么?
浏览 18提问于2022-01-09得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
