16

Django 1.2.5 で正常に動作していた次のコードがあります。

from django.views.decorators.csrf import csrf_exempt

class ApiView(object):
    def __call__(self, request, *args, **kwargs):
        method = request.method.upper()
        return getattr(self, method)(request, *args, **kwargs)

@csrf_exempt
class MyView(ApiView):

    def POST(self):
       # (...)
       return HttpResponse(json.dumps(True), mimetype="text/javascript")

しかし、Django 1.4 にアップグレードすると、「CSRF 検証に失敗しました」というメッセージとともに、403 禁止が発生し始めました。

@csrf_exempt デコレータが機能しないのはなぜですか?

URL の定義は次のとおりです。

from django.conf.urls.defaults import *
from django.views.decorators.csrf import csrf_exempt

import views

urlpatterns = patterns('',
   url(r'^myview/(?P<parameter_name>[A-Za-z0-9-_]+)/$',
       views.MyView(),
       name="myproject-myapp-myview",
       ),
)
4

3 に答える 3

22

ジャンゴのドキュメントによると:

クラスベースのビューのすべてのインスタンスを装飾するには、クラス定義自体を装飾する必要があります。これを行うには、デコレーターをクラスの dispatch() メソッドに適用します。

したがって、次のようにする必要があります。

class MyView(ApiView):

    def POST(self):
       # (...)
       return HttpResponse(json.dumps(True), mimetype="text/javascript")

    @csrf_exempt
    def dispatch(self, *args, **kwargs):
        return super(MyView, self).dispatch(*args, **kwargs)
于 2012-04-20T19:39:29.030 に答える
12

csrf_exemptで使用するだけurls.pyです。すなわち::

urls.py

..other imports...
from django.views.decorators.csrf import csrf_exempt   
from myapp.views import MyView

urlpatterns = patterns('',
   url(r'^myview/(?P<parameter_name>[A-Za-z0-9-_]+)/$',
       csrf_exempt(MyView.as_view()), # use csrf_exempt here
       name="myproject-myapp-myview",
       ),
)
于 2014-04-13T18:33:12.807 に答える
3

csrf_exempt は関数を装飾する必要があります。あなたのURLでは、その機能を飾ることができます。ドキュメントはここにあります

(r'^vote/', permission_required('polls.can_vote')(VoteView.as_view())),
于 2012-04-20T20:12:00.507 に答える