問題タブ [django-csrf]

私のviews.py：

私のテンプレートでindex.html：

そのため、ブラウザでホームページを開いてソースコードを表示すると、csrf トークンがありません!

私は何を取りこぼしたか？

更新:これは役に立ちました。

テンプレート内の関連するHTMLのスニペットは次のとおりです。

これが私のsettings.py MIDDLEWARE_CLASSES宣言です：

CSRFトークンが表示されないため、

禁止（403）CSRF検証に失敗しました。リクエストは中止されました。

この質問は、コーディング方法に関する直接的な質問ではなく、再保険に関するものです。独学者として、私は専門家にそのようなことを尋ねる機会があまりなかったので、ここで試してみました.

django-docs ( https://docs.djangoproject.com/en/1.3/ref/contrib/csrf/ ) のドキュメントとそのページの情報を読みました: http://cwe.mitre.org/top25 /#CWE-352

私が理解している限り、django はトークン (ある種の PIN コード) をユーザーに配信します。そして、それが本当に彼のものであることを確認するために、彼は次に要求を行うときにそれを返さなければなりません. Google の何人かは、これが ajax リクエストでも可能であることを発見しました。これが、1.2.6 以降、それらを保護する新しいポリシーを持っている理由です。CSRF とは、他人になりすまして私に何か (悪い、危険なコード、破損したファイル、またはそのようなもの) を与える人に関するものです。

したがって、次のようなコードがある場合:

指定された値を整数に変換しようとする前に、データベースまたはアプリケーションの一部へのアクセスを許可していないため、保存する必要があります。また、誰かがファイルをダウンロードしたという誤った記録を行っても、それほど大きな被害はありません (この場合はほとんどありません)。この見解に基づいて請求書を作成すると仮定すると、CSRF免除はさまざまな悪い考えになります(そうですか?)。

また、誰かがユーザーから CSRF トークンを盗むことができず、それを使用して私 (またはユーザー) をだますことができない理由もわかりません。だから私はこのトピックについていくつか質問があります:

1）上記の私の仮定は正しいですか？

2) 誰かが私に教えてくれませんか? あまりいい人ではない人が上のビューを使用して汚いトリックを行うことができたのは何 (そしておそらくどのように) でしょうか?

3）CSRFは中間者攻撃の例ですか、それは単にそれに関連しているだけですか、それともまったく別のものですか？

4) そのような危険性についてさらに読むための貴重なリンクはありますか?

これらの質問のいくつかは十分な情報に基づいていないように聞こえるかもしれませんが、私はそれを乗り越えようとしています. 誰かが私を助けてくれたらとてもうれしいです。

重複の可能性:
Jquery の検証 - サーバー側の Django から電子メールとユーザー名の可用性を確認する

Jquery 検証プラグインを使用して、ユーザー名と電子メールの可用性をリモートで確認したいと考えています。しかし、403 Forbidden - CSRF 検証に失敗しました。Jquery Post Request に Django csrf テンプレート タグを使用する場所がわかりません。

ビュー.py:

urls.py:

signup.html: https://gist.github.com/2253002

誰でも私を助けることができますか？

ありがとう！

Edite：コメントのアドバイスに従ってコードを改良しましたが、まだうまくいきません

更新：あなたのアドバイスに従った後、ThiefMasterに感謝しますビュー関数でバグを見つけましたが、修正した後、djangoデバッグに入ります

禁じられた (403)

CSRF 検証に失敗しました。リクエストは中止されました。ヘルプ 失敗の理由: CSRF トークンが見つからないか、正しくありません。

---

jquery ajaxを使用してjsonデータをdjangoに送信しようとしています

ここに私のjsコードがあります

chrome devtool では、最後の $.ajax() まですべて問題ありません

このエラーをスローします リソースのロードに失敗しました: サーバーは 403 (OK) のステータスで応答しました

誰かが私が間違っていることを理解できる場合は、先に進んでください

前もって感謝します

Django のコメント フレームワークは、ブログや記事の下で一般的に見られるような匿名のパブリック コメント用に設計されていることを理解しています。つまり、誰でもコメントを投稿できます。

ログインしたユーザーのみがコメントを表示できるようにするために、コメント フレームワークを使用しています。私がしたことは、、、およびフィールドを変更してform.html非表示にしたことです(セキュリティ フィールドはそのまま残します)。そのため、ほとんどの場合、ユーザーにはフィールドしか表示されません。Django には、タイムスタンプ チェック、ハニーポット フィールド、二重投稿防止機能などの優れたセキュリティ機能が既に備わっているため、Django のコメントを使用したいと思いました。ユーザー情報はRequestContextから取得され、 or vsとは反対にコメントに関するユーザー情報を取得します。nameURLemailcommentrequest.user comment.user.get_full_namecomment.namecomment.user.emailcomment.email

また、Django の CSRF 保護についても読み始めました。ほとんどの場合、ハッカーがログインしているユーザーの銀行口座から Cookie などを使用して送金することを、CSRF がどのように防ぐかについて話されています。

私の場合、CSRF は人々が他のユーザーとして投稿することを妨げますか? 言い換えれば、ハッカーは独自の POST フォームを作成し、別のフォームに投稿してuser.pk他人を偽装することはできますか?

djangoを1.4に更新しました。しかし、ログインフォームを送信しようとすると、次のエラーが発生します。

禁止（403）CSRF検証に失敗しました。リクエストは中止されました。失敗の理由：CSRFトークンが欠落しているか正しくありません。

私のsettings.py（MIDDLEWARE_CLASSES）では、現在非推奨になっているため、次の行を削除する必要がありました。

そして、私がこのエラーを受け取り始めたよりも。

いくつかの必要な情報：Urls.py

login.html

誰かがこの問題を解決する方法を知っていますか？

私はかなり単純な電子メールフォームを機能させようとしています。フォームは 1 つのフィールド (メール) のみです。

フォーム.py

ビュー.py

launch.html (関連部分)

settings.py のミドルウェア

現在の結果: テンプレートが含まれていないかのようにページが表示されます。フォームと送信ボタンは表示されますが、メール フィールドはありません。csrf隠しフィールドもありません。私は愚かな何かを見逃しているに違いない...

Django を 1.2.3 から 1.4 にアップグレードしたところ、django.middleware.csrf.CsrfResponseMiddleware が非推奨になっていることに気付きました。すべての投稿で csrf_token を使用する必要がない他の方法はありますか? フロントエンドの設計者は、django 固有のトークンについて心配する必要がなくなります。

私はずっと前にCSRFについて聞いていましたが、ほとんどの場合、次のように聞いています。

CSRF攻撃から保護することは、誰かが（ボットなどを使用して）フォームを自動的に送信しないようにするために重要です。

ええと、それは100％真実ではありませんね。

私は約3年間ウェブスクレイピングを行ってきましたが、リクエストを作成し、フィールドを解析csrftokenmiddlewareして、他のフィールドと一緒にPOSTするのは非常に簡単です。

それで、それは本当に何のためですか？