問題タブ [django-csrf]

私はDjangoとcsrfトークンを初めて使用するので、これはまったく新しい質問です。detail.htmlに簡単なチェックマークボックスがあります。

results.htmlは次のようになります。

views.pyは次のようになります：

urls.pyは次のようになります。

'detail.html'とviewsourceをロードすると、次のように表示されます。

2つの質問があります：

1. ビューソースにcsrfトークンを表示することになっていますか（つまり、value ='TVidKbDr1SCJUWIMWpPecN5tR862Chbo'）？全体のポイントは、攻撃者がこの独自の価値を理解できないようにすることだと思いました。
2. views.pyで、変数「c」をどこかに渡すことになっているのではないですか？'c'を渡さないと、すべてが期待どおりに機能します。使い方がわからない。

httpページにhttp://example.comというフォームがあり、フォームは次のようになっています。django1.3を使用しています。csrfミドルウェアを有効にして、フォーム内にcsrfトークンタグを配置しました。フォームを送信しようとすると、以下が表示されます。エラー。

リファラーチェックに失敗しました-http : //example.com/がhttps://example.com/と一致しません 。

この問題を克服する方法について何かアイデアはありますか？

すべての静的ページにログイン フォームがあります。プロジェクトで csrf ミドルウェアを有効にしました。ユーザーが http 静的ページからフォームを送信すると、エラーが発生します。

非スキュアからセキュアページに投稿された場​​合でも、クロスサイト検証を確実にする方法はありますか?

scrf 免除デコレータを追加したり、ページを https に変更したりしたくありません。

これは私のテンプレートです：

新しい django プロジェクトを開始し、管理アプリを有効にしました。管理サイトにログインできますが、サイトまたはユーザーを追加/変更しようとすると、

それが私がsettings.pyに持っているものです:

管理ページのソースを見ていると、

そこの

私はDjangoバージョン1.4.1を持っています

私はdjango（およびプログラミング全般）の完全な初心者です。djangoPollsチュートリアルを試しましたが、すべてうまくいきましたが、最小限の投票ボタンを機能させようとしています。基本的に私は2つの列を持つデータベースをセットアップしました、私のようにmodels.py見えます

画像のURLをコピーして貼り付けることができる入力ボックスを作成しました。この画像は別のページに表示されます（これは正常に機能します）。私が欲しいのは、表示された各画像の横に投票ボタンを配置することです。ここで、ユーザーはボタンをクリックでき（送信ボタンを使用しようとしています）、dbで投票数が増えます（新しいページにリダイレクトされません）。 、または何か空想）。

これは些細な質問だと思います。私はPOSTdjangoの基本とデータベース処理を学ぼうとしています（また、djangobookの関連する章を読んだことがあります...多分私は少し遅いですか？）

私の意見はこのように見えます

私のテンプレートは次のようになります。

これをそのまま実行すると、csrf検証に失敗したというエラーが表示されます

どんな助けでも大歓迎です

私の Django テンプレートには、POST フォームがあります。タグ {% csrf_token %} が含まれています。このフォームを正常に送信すると、すべて正常に機能します。ただし、Javascript/Jquery を介してフォームの入力値を変更する必要があります。

これを行うと、フォームを送信したときに「CSRF 検証に失敗しました」というエラー メッセージが表示されます。私は Javascript 経由でフォームを送信しますが、値を動的に変更しない限り、これは問題ではありません。

Python 関数の上に @csrf_exempt を記述して、これを「解決」しています。ただし、これはセキュリティをスキップします。別の方法はありますか？

私は Django を初めて使用し、まだその機能を理解しようとしています。私はDjango 1.4.2で非常に単純なプロジェクトを作成しました。これには、何かを入力する単純なフォームのインデックスページと、送信後に入力が表示される結果ページがあります(コードは以下にあります)。

送信後、エラー 403 と次のメッセージが表示されます。

テンプレートで {% csrf_token %} が使用されましたが、コンテキストが値を提供しませんでした。これは通常、RequestContext を使用していないことが原因です。warnings.warn("テンプレートで {% csrf_token %} が使用されましたが、コンテキストが値を提供しませんでした。これは通常、RequestContext を使用していないことが原因です。")

index.html

結果.html

ビュー.py

ドキュメントやインターネット上のさまざまな例を調べましたが、何が間違っているのかわかりません。settings.pyでdjango.middleware.csrf.CsrfViewMiddlewareを無効にすると、正確に必要なものが得られますが、それは私が探している答えではありません。

経験豊富な Django 忍者の助けに感謝します :-)

ドキュメントgetCookieの関数を使用して値を取得します。djangocsrfmiddlewaretoken

私は次のajax呼び出しを持っています：

このコードが実行されるdjangoと、CSRF検証が失敗したことを通知する403例外が発生します。しかし、私がtypeからDELETEに変更した場合、POSTそれdjangoについては満足しており、まったく文句を言いません。

これについてGoogleで役立つものを見つけることはできませんでしたが、この（現在は閉鎖され修正されている）チケットを見つけました：https ：//code.djangoproject.com/ticket/15258

私がそれを正しく理解していれば、この問題は1.4マイルストーンで修正されています。DELETEdjango 1.4を使用していますが、リクエストでCSRFトークンを確認できません。

ここで何かが足りませんか？

django-csrf ジャンゴ

多くの人と同じように、私も CSRF と Django を使用する際に多くの問題を抱えてきました。

コンテキストは次のとおりです:
- ユーザーがファイルをアップロードできる https Web サイトを作成しました -
この Web サイトを作成するために Django 1.4.2 を使用し
ました - 私が望むことを行うアプリ *file_manager* を作成しました
- 私は管理者の URL からのみこのアプリを使用する

で無効django.middleware.csrf.CsrfViewMiddlewareにするMIDDLEWARE_CLASSESとsettings.py、すべて正常に動作します。
Debian Squeeze のコマンド ラインで cURL を使用してテンプレートにファイルをアップロードできます。ファイルはサーバーにヒットしますが、問題ありません。
ただし、安全ではないようです。

だから私は有効django.middleware.csrf.CsrfViewMiddleware にしました もう機能しません。CSRF検証に関するあらゆる種類のエラーが発生します。

私は通常の容疑者を排除したと信じています（少なくとも望んでいます）：
- {% csrf_token %}
- RequestContext
- settings.pyCsrfViewMiddleware

プロセスに関連するすべてのファイル (私が願っています) の下にあります。

ビュー.py

list.html

そして、ここに私のcurlリクエストがあります:

リクエストで Cookie も送信しようとすることで、curl リクエストのさまざまなバリエーションを試しましたが、cURL がアップロードを処理する方法について完全に混乱していると思います。

CSRF Coo​​kie が設定されていないか、CSRF 検証に失敗しただけです。

cURL と Django を十分に知っている人がいて、CSRF を無効にせずに自分の Web サイトにアップロードする方法についてのヒントを教えてくれれば、本当に感謝しています。

よろしく、フロリアン

だから私はここで何をすべきかを理解しようとしています...iOSからDjangoサーバーへのPOST呼び出しを行っていますが、403エラー（無効なCSRFトークン）が発生し続けます。トークンを返す関数を実装することを考えています（その関数にアクセスするにはログインする必要があります）。次に、トークンをPOST呼び出しに追加します。

さて...それをする意味がわかりませんか？TastyPieを使用していて、必要なログインがAPIKeyである場合、csrfチェックを免除する必要がありますか？

物事を正しく理解するために...CSRFはユーザーセッションごとに生成されますか？したがって、Cookieを使用しない場合、CSRFは必要ありませんか？

人々は通常、iOSでDjangoサーバーをどのように使用し、そのようなPOST呼び出しを行うのですか？

ありがとう！