python - CSRF検証に失敗しました。リクエストは中止されました

Question

sqlite3データベースにデータを追加できる非常にシンプルなWebサイトを構築しようとしています。2つのテキスト入力があるPOSTフォームがあります。

index.html：

{% if top_list %}
    <ul>
    <b><pre>Name    Total steps</pre></b>
    {% for t in top_list %}
        <pre>{{t.name}} {{t.total_steps}}</pre>
    {% endfor %}
    </ul>
    {% else %}
    <p>No data available.</p>
{% endif %}
<br>
<form action="/steps_count/" method="post">
    {% csrf_token %}
    Name: <input type="text" name="Name" /><br />
    Steps: <input type="text" name="Steps" /><br />
   <input type="submit" value="Add" />
 </form>

forms.py：

from django import forms
from steps_count.models import Top_List

class Top_List_Form(forms.ModelForm):
    class Meta:
        model=Top_List

views.py：

# Create your views here.
from django.template import Context, loader
from django.http import HttpResponse
from steps_count.models import Top_List
from steps_count.forms import Top_List_Form
from django.template import RequestContext
from django.shortcuts import get_object_or_404, render_to_response

def index(request):

if request.method == 'POST':
    #form = Top_List_Form(request.POST)
    print "Do something"
else:
    top_list = Top_List.objects.all().order_by('total_steps').reverse()
    t = loader.get_template('steps_count/index.html')
    c = Context({'top_list': top_list,})
    #output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list])
    return HttpResponse(t.render(c))

ただし、[送信]ボタンをクリックすると、403エラーが発生します。

CSRF verification failed. Request aborted.

{% csrf_token %}index.htmlに含めました。ただし、それがRequestContextの問題である場合、それをどこでどのように使用するかについては、私にはまったくわかりません。すべてを同じページ（index.html）で実行したいと思います。

Answer 1

フォームに以下を追加し忘れた可能性があります。

{% csrf_token %}

Answer 2

自動的に追加されるrenderショートカットを使用しRequestContextます。

from django.http import HttpResponse
from django.shortcuts import get_object_or_404, render
from steps_count.models import Top_List
from steps_count.forms import Top_List_Form


def index(request):

    if request.method == 'POST':
        #form = Top_List_Form(request.POST)
        return HttpResponse("Do something") # methods must return HttpResponse
    else:
        top_list = Top_List.objects.all().order_by('total_steps').reverse()
        #output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list])
        return render(request,'steps_count/index.html',{'top_list': top_list})

Answer 3

このタイプのメッセージを見つけた場合は、CSRFトークンが欠落しているか正しくないことを意味します。したがって、2つの選択肢があります。

1. POSTフォームの場合、次のことを確認する必要があります。

   • お使いのブラウザはCookieを受け入れています。

   • テンプレートでは、内部URLをターゲットとする各POSTフォーム内に{％csrf_token％}テンプレートタグがあります。

2. もう1つの簡単な方法は、設定タブからMIDDLEWARE_CLASSESの1行（推奨されません）（'django.middleware.csrf.CsrfViewMiddleware'）にコメントを付けるだけです。

   MIDDLEWARE_CLASSES = (
       'django.contrib.sessions.middleware.SessionMiddleware',
       'django.middleware.common.CommonMiddleware',
       # 'django.middleware.csrf.CsrfViewMiddleware',
       'django.contrib.auth.middleware.AuthenticationMiddleware',
       'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
       'django.contrib.messages.middleware.MessageMiddleware',
       'django.middleware.clickjacking.XFrameOptionsMiddleware',
   

   ）。

Answer 4

これを修正するもう1つの優れた代替方法は、'@csrf_exempt'注釈を使用することです。

あなたはあなたの方法でDjango 3.1.1ただ使うことができ@csrf_exemptます。

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def index(request):

{% csrf_token %}HTMLで指定する必要はありません。

幸せな学習..

Answer 5

ここでよくある間違いは、requestContextが自動的に含まれないrender_to_response（これは古いチュートリアルで一般的に使用されています）を使用することです。レンダリングには自動的に含まれます。

チュートリアルに従って新しいアプリを作成し、CSRFが新しいアプリのページで機能していなかったときに、これを学びました。

Answer 6

HTMLヘッダーに、

<meta name="csrf_token" content="{{ csrf_token }}">

次に、JS /angular構成で：

app.config(function($httpProvider){
    $httpProvider.defaults.headers.post['X-CSRFToken'] = $('meta[name=csrf_token]').attr('content');
}

Answer 7

DRFを使用している場合は、追加する必要があります@api_view(['POST'])

Answer 8

function yourFunctionName(data_1,data_2){
        context = {}
        context['id'] = data_1
        context['Valid'] = data_2
        $.ajax({
            beforeSend:function(xhr, settings) {
                    function getCookie(name) {
                            var cookieValue = null;
                            if (document.cookie && document.cookie != '') {
                                var cookies = document.cookie.split(';');
                                for (var i = 0; i < cookies.length; i++) {
                                    var cookie = jQuery.trim(cookies[i]);
                                    if (cookie.substring(0, name.length + 1) == (name + '=')) {
                                        cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                                        break;
                                    }
                                }
                            }
                            return cookieValue;
                        }
                        if (settings.url == "your-url")
                            xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
                    },

            url: "your-url",
            type: "POST",
            data: JSON.stringify(context),
            dataType: 'json',
            contentType: 'application/json'
        }).done(function( data ) {
    });

Answer 9

入れ{%csrf_token%}ても同じ問題が発生する場合は、Angularバージョンを変更してみてください。これは私のために働いた。当初、Angular1.4.xバージョンを使用しているときにこの問題に直面しました。角度1.2.8に分解した後、問題は修正されました。忘れずにangular-cookies.jsを追加し、これをjsファイルに配置してください。
POSTリクエストを使用している場合。

app.run(function($http, $cookies) {
    console.log($cookies.csrftoken);
    $http.defaults.headers.post['X-CSRFToken'] = $cookies.csrftoken;
});

Answer 10

デコレータを使用する：

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def method_name():
    # body

Answer 11

ブラウザがCookieを受け入れていることを確認してください。私は同じ問題に直面しました。

Answer 12

djangoのバージョンが「4.xx」の場合：

python -m django --version

// 4.x.x

エラーに次のメッセージが含まれている場合：

オリジンチェックに失敗しました-https://example.comは信頼できるオリジンと一致しません。

このコードを「settings.py」に追加します。

CSRF_TRUSTED_ORIGINS = ['https://example.com']

Answer 13

1）{％csrf_token％}がテンプレートにありません-または-2）{％csrf_token％}がhtmlフォームの外にあります