Django CSRF检查失败，发出Ajax POST请求

真的解决

好吧，我设法跟踪了这个问题。 它位于Javascript（如我所build议的）代码中。

你需要的是这样的：

 $.ajaxSetup({ beforeSend: function(xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) { // Only send the token to relative URLs ie locally. xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken')); } } }); 

而不是在官方文档中发布的代码： http : //docs.djangoproject.com/en/1.2/ref/contrib/csrf/#ajax

工作代码来自这个Django条目： http : //www.djangoproject.com/weblog/2011/feb/08/security/

所以一般的解决scheme是：“使用ajaxSetup处理程序而不是ajaxSend处理程序”。 我不知道它为什么起作用。 但它适用于我:)

以前的post（没有回答）

实际上我遇到了同样的问题。

它发生在更新到Django 1.2.5之后 – Django 1.2.4中的AJAX POST请求没有错误（AJAX没有以任何方式保护，但工作得很好）。

就像OP一样，我尝试了Django文档中发布的JavaScript片段。 我正在使用jQuery 1.5。 我也使用“django.middleware.csrf.CsrfViewMiddleware”中间件。

我试图按照中间件代码，我知道它在这个失败：

 request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '') 

接着

 if request_csrf_token != csrf_token: return self._reject(request, REASON_BAD_TOKEN) 

这个“if”是真的，因为“request_csrf_token”是空的。

基本上这意味着头没有设置。 那么这个JS系列有什么问题：

 xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken')); 

？

我希望提供的细节将帮助我们解决问题:)

如果使用$.ajax函数，则只需在数据体中添加csrf标记即可：

 $.ajax({ data: { somedata: 'somedata', moredata: 'moredata', csrfmiddlewaretoken: '{{ csrf_token }}' }, 

将这行添加到您的jQuery代码中：

 $.ajaxSetup({ data: {csrfmiddlewaretoken: '{{ csrf_token }}' }, }); 

并做了。

这个问题是因为Django希望cookie中的值作为表单数据的一部分被传回。 从以前的答案的代码是获取JavaScript寻找cookie值，并将其放入表单数据。 这从技术的angular度来看是一个可爱的方式，但它看起来有点冗长。

在过去，我更简单地通过获取javascript来将令牌值放入发布数据中。

如果您在模板中使用{％csrf_token％}，则会得到一个隐藏的表单字段，其中包含该值。 但是，如果你使用{{csrf_token}}，你只会得到标记的价值，所以你可以像这样在JavaScript中使用这个….

 csrf_token = "{{ csrf_token }}"; 

然后你可以在hash中包含那个所需的键名，然后把它作为数据提交给ajax调用。

{% csrf_token %}放在<form></form> html模板中

翻译成以下内容：

 <input type='hidden' name='csrfmiddlewaretoken' value='Sdgrw2HfynbFgPcZ5sjaoAI5zsMZ4wZR' /> 

所以为什么不把它在你的JS这样的grep：

 token = $("#change_password-form").find('input[name=csrfmiddlewaretoken]').val() 

然后通过它，例如做一些POST，如：

 $.post( "/panel/change_password/", {foo: bar, csrfmiddlewaretoken: token}, function(data){ console.log(data); }); 

如果您的表单在没有JS的Django中正确发布，您应该能够逐渐增强它与Ajax没有任何黑客或混乱的csrf标记传递。 只需序列化整个表单，并自动获取所有表单字段， 包括隐藏的csrf字段：

 $('#myForm').submit(function(){ var action = $(this).attr('action'); var that = $(this); $.ajax({ url: action, type: 'POST', data: that.serialize() ,success: function(data){ console.log('Success!'); } }); return false; }); 

我用Django 1.3+和jQuery 1.5+testing了这个。 显然这将适用于任何HTML表单，而不仅仅是Django应用程序。

被接受的答案很可能是一个红鲱鱼。 Django 1.2.4和1.2.5之间的区别是需要AJAX请求的CSRF令牌。

我在Django 1.3上遇到了这个问题，这是由于CSRF cookie不是首先被设置的。 除非必须，否则Django不会设置cookie。 所以在Django 1.2.4上运行的ajax站点可能永远不会发送令牌给客户端，然后需要令牌的升级会导致403错误。

理想的解决方法在这里： http : //docs.djangoproject.com/en/dev/ref/contrib/csrf/#page-uses-ajax-without-any-html-form
但是你不得不等待1.4，除非这只是文档追踪代码

编辑

还要注意，后面的Django文档logging了jQuery 1.5中的一个错误，因此请确保您使用的是1.5.1或更高版本的Djangobuild议代码： http : //docs.djangoproject.com/en/1.3/ref/contrib/csrf/#阿贾克斯

使用Firefox和Firebug。 在发射ajax请求时打开“控制台”选项卡。 使用DEBUG=True你可以得到好的django错误页面，你甚至可以在控制台标签中看到ajax响应的呈现html。

那么你会知道错误是什么。

非jQuery的答案：

 var csrfcookie = function() { var cookieValue = null, name = 'csrftoken'; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = cookies[i].trim(); if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; }; 

用法：

 var request = new XMLHttpRequest(); request.open('POST', url, true); request.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded; charset=UTF-8'); request.setRequestHeader('X-CSRFToken', csrfcookie()); request.onload = callback; request.send(data); 

我刚刚遇到了一些不同但类似的情况。 不是100％确定它是否可以解决你的问题，但是我通过设置一个POST参数'csrfmiddlewaretoken'来解决Django 1.3的问题，这个参数通常是由Django带有“{％csrf_token％}”标记的模板系统。 我没有尝试Django，只是发生并在Django1.3上解决。 我的问题是，通过Ajax从表单提交的第一个请求已经成功完成，但是第二次尝试从失败的完全相同，导致了403状态，即使标头“X-CSRFToken”正确放置了CSRF标记值就像第一次尝试的情况一样。 希望这可以帮助。

问候，

浩

一个CSRF令牌被分配给每个会话（即每次login时）。 所以，在你想获得用户input的一些数据，并将其作为ajax调用发送给csrf_protect装饰器保护的某个函数之前，请先从用户处获取这些数据，然后尝试查找正在调用的函数。 例如，您的用户input数据时必须呈现一些模板。 该模板正在被某个函数渲染。 在这个函数中，你可以得到csrf标记，如下所示：csrf = request.COOKIES ['csrftoken']现在在上下文字典中传递这个csrf的值，对应的模板被渲染。 现在在这个模板中写下这一行：现在在你的javascript函数中，在发出一个jax请求之前，写下：var csrf = $（'＃csrf'）。val（）这将会select传递给模板的标记值，并将其存储在variablesCSRF。 现在在进行Ajax调用的时候，在你的发布数据中也要传递这个值：“csrfmiddlewaretoken”：csrf

即使你没有实现django表单，这也可以工作。

事实上，这里的逻辑是：你需要令牌，你可以从请求中获得。 所以你只需要在login后立即找出被调用的函数。一旦你有了这个令牌，可以再次调用ajax来获得它，或者把它传递给你的ajax可以访问的模板。

在我的情况下，问题是我已经从主服务器复制到临时的nginxconfiguration禁用HTTPS，而不需要在第二个过程中。

我不得不在configuration中注释掉这两行，以使其重新工作：

 # uwsgi_param UWSGI_SCHEME https; # uwsgi_pass_header X_FORWARDED_PROTO; 

你可以将这个js粘贴到你的html文件中，记得把它放在其他的js函数之前

 <script> // using jQuery function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $(document).ready(function() { var csrftoken = getCookie('csrftoken'); $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } }); }); </script> 

对于遇到此问题并正在尝试debugging的人员：

1）django csrf检查（假设你正在发送一个）在这里

2）在我的情况下， settings.CSRF_HEADER_NAME被设置为“HTTP_X_CSRFTOKEN”，我的AJAX调用发送一个名为“HTTP_X_CSRF_TOKEN”的标题，所以东西不工作。 我可以改变它的AJAX调用，或Django的设置。

3）如果你select改变它的服务器端，find你的django的安装位置，并在csrf middleware抛出一个断点。如果你使用的是virtualenv ，它会是这样的： ~/.envs/my-project/lib/python2.7/site-packages/django/middleware/csrf.py

 import ipdb; ipdb.set_trace() # breakpoint!! if request_csrf_token == "": # Fall back to X-CSRFToken, to make things easier for AJAX, # and possible for PUT/DELETE. request_csrf_token = request.META.get(settings.CSRF_HEADER_NAME, '') 

然后，确保csrf标记正确地来自request.META

4）如果你需要改变你的标题等 – 改变你的设置文件中的variables

如果有人为了做这项工作而苦苦挣扎，这帮助了我：

 import axios from 'axios'; axios.defaults.xsrfCookieName = 'csrftoken' axios.defaults.xsrfHeaderName = 'X-CSRFToken' 

资料来源： https : //cbuelter.wordpress.com/2017/04/10/django-csrf-with-axios/

似乎没有人提到过如何在纯JS中使用X-CSRFToken头和{{ csrf_token }}来做到这一点，所以这里有一个简单的解决scheme，你不需要通过cookies或DOM进行search：

 var xhttp = new XMLHttpRequest(); xhttp.open("POST", url, true); xhttp.setRequestHeader("X-CSRFToken", "{{ csrf_token }}"); xhttp.send();