django 取消csrf限制的例項
阿新 • • 發佈:2020-03-14
# 匯入包
from django.views.decorators.csrf import csrf_exempt
# 使用裝飾器即可避免csrf限制
@csrf_exempt def add_bookshelf(request): user_id = request.POST.get('user_id') print(user_id) return HttpResponse('123')
補充知識:Django 前後端分離跨域AJAX獲取csrftoken及獲取cookie時遇到的問題
獲取CSRFTOKEN
Django的中介軟體'django.middleware.csrf.CsrfViewMiddleware'會將csrftoken的值設定在cookie中。在前後端不分離的專案中,若需要在AJAX使用csrftoken的值則可在js指令碼中通過document.cookie直接獲取cookie的值(也可以通過其他更快捷的輪子如js-cookie)。
在前後端分離的專案中(已配置django-cors-headers),無法直接使用js從cookie中獲取csrfToken的值(瀏覽器的同源策略),即使已經成功設定了csrfToken的cookie值
解決方法
在中介軟體中引入
corsheaders.middleware.CorsPostCsrfMiddleware 'corsheaders.middleware.CorsMiddleware','django.middleware.security.SecurityMiddleware','django.contrib.sessions.middleware.SessionMiddleware','django.middleware.common.CommonMiddleware','django.middleware.csrf.CsrfViewMiddleware','corsheaders.middleware.CorsPostCsrfMiddleware',
有些部落格中使用該中介軟體替代django.middleware.csrf.CsrfViewMiddleware是不可行的,因為該中介軟體並沒有期望中csrf校驗的功能,下面為該中介軟體的原始碼。
class CorsPostCsrfMiddleware(MiddlewareMixin): def _https_referer_replace_reverse(self,request): """ Put the HTTP_REFERER back to its original value and delete the temporary storage """ if conf.CORS_REPLACE_HTTPS_REFERER and 'ORIGINAL_HTTP_REFERER' in request.META: http_referer = request.META['ORIGINAL_HTTP_REFERER'] request.META['HTTP_REFERER'] = http_referer del request.META['ORIGINAL_HTTP_REFERER'] def process_request(self,request): self._https_referer_replace_reverse(request) return None def process_view(self,request,callback,callback_args,callback_kwargs): self._https_referer_replace_reverse(request) return None
以上這篇django 取消csrf限制的例項就是小編分享給大家的全部內容了,希望能給大家一個參考,也希望大家多多支援我們。