Djangoで作成したアプリケーションをテストしているときに、フォームを送信するたびにHTTP403Forbiddenエラーがスローされることがわかりました。CSRFミドルウェアがCSRFトークンを使用してCookieをチェックすることは知っていますが、Cookieが無効になっているユーザーにどのようなアプローチを与える必要がありますか?
ユーザーが各ビューでCookieを有効にしているかどうかを確認する必要がありますか、それともより効率的な方法がありますか?
前もって感謝します。
この質問はDjangopre-1.2を扱っていました。古いバージョンを使用している場合、解決策は異なります。
同じ問題を抱えている人のために:私にとって最も適した解決策は、一般的な403エラーページを表示するミドルウェアを作成することであることがわかりました。
from django.http import HttpResponseForbidden
from django.conf import settings
from django.template import RequestContext
from django.shortcuts import render_to_response
class PermissionErrorMiddleware(object):
def process_response(self, request, response):
if isinstance(response, HttpResponseForbidden):
return render_to_response('403.html', context_instance=RequestContext(request))
return response
エラーページの原因として最も可能性が高いのは、Cookieが無効になっていることであることがユーザーに通知されます。これは、アプリケーションが403エラーをスローしないためです。私は常に「隠すことによるセキュリティ」アプローチを好み、ユーザーが特定のページにアクセスしてはならないときに404エラーをスローします。
Django 1.2以降では、 CSRF_FAILURE_VIEWを使用して403応答をオーバーライドできます。
フォームが本当にCookieなしで機能する必要がある場合は、CSRFミドルウェアを無効にする必要があると思います。1つの値がランダムで、もう1つが最初の1つとシークレットのハッシュである、2つのフォーム入力を使用して同様の何かを実装できる場合があります。
csrf情報を非表示のPOST変数として渡そうとしましたか?私が関わったプロジェクトでは、通常、隠された入力で行われます。
<input type="hidden" name="csrf" value="<?=$person->csrf?>" />
PHPコードで申し訳ありませんが、Djangoテンプレートでそれを行う方法を覚えていません。