我尝试构建一个非常简单的网站,可以将数据添加到 sqlite3 数据库中。我有一个带有两个文本输入的 POST 表单。
index.html:
{% if top_list %}
<ul>
<b><pre>Name Total steps</pre></b>
{% for t in top_list %}
<pre>{{t.name}} {{t.total_steps}}</pre>
{% endfor %}
</ul>
{% else %}
<p>No data available.</p>
{% endif %}
<br>
<form action="/steps_count/" method="post">
{% csrf_token %}
Name: <input type="text" name="Name" /><br />
Steps: <input type="text" name="Steps" /><br />
<input type="submit" value="Add" />
</form>
forms.py:
from django import forms
from steps_count.models import Top_List
class Top_List_Form(forms.ModelForm):
class Meta:
model=Top_List
views.py:
# Create your views here.
from django.template import Context, loader
from django.http import HttpResponse
from steps_count.models import Top_List
from steps_count.forms import Top_List_Form
from django.template import RequestContext
from django.shortcuts import get_object_or_404, render_to_response
def index(request):
if request.method == 'POST':
#form = Top_List_Form(request.POST)
print "Do something"
else:
top_list = Top_List.objects.all().order_by('total_steps').reverse()
t = loader.get_template('steps_count/index.html')
c = Context({'top_list': top_list,})
#output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list])
return HttpResponse(t.render(c))
但是,当我单击“提交”按钮时,我收到 403 错误:
CSRF verification failed. Request aborted.
我已将
{% csrf_token %}
包含在index.html 中。但是,如果是 RequestContext 问题,我真的不知道在哪里以及如何使用它。我希望所有事情都发生在同一页面上(index.html)。
您可能错过了将以下内容添加到表单中:
{% csrf_token %}
render
快捷键,它会自动添加 RequestContext
。
from django.http import HttpResponse
from django.shortcuts import get_object_or_404, render
from steps_count.models import Top_List
from steps_count.forms import Top_List_Form
def index(request):
if request.method == 'POST':
#form = Top_List_Form(request.POST)
return HttpResponse("Do something") # methods must return HttpResponse
else:
top_list = Top_List.objects.all().order_by('total_steps').reverse()
#output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list])
return render(request,'steps_count/index.html',{'top_list': top_list})
添加到设置文件中
CSRF_TRUSTED_ORIGINS = [
'https://appname.herokuapp.com'
]
当您发现此类消息时,这意味着 CSRF 令牌丢失或不正确。所以你有两个选择。
对于 POST 表单,您需要确保:
您的浏览器正在接受cookie。
在模板中,每个针对内部 URL 的 POST 表单内都有一个 {% csrf_token %} 模板标记。
另一种简单的方法只是在设置选项卡中的 MIDDLEWARE_CLASSES 中注释一行(不推荐)('django.middleware.csrf.CsrfViewMiddleware')。
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
# 'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
)
解决此问题的另一种最好的替代方法是使用
'@csrf_exempt'
注释。
使用
Django 3.1.1
,您可以在您的方法中使用 @csrf_exempt
。
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def index(request):
并且您不需要在 html 中指定
{% csrf_token %}
。
快乐学习..
这里的一个常见错误是使用 render_to_response (这在旧教程中常用),它不会自动包含 RequestContext。渲染会自动包含它。
在按照教程创建新应用程序时了解了这一点,并且 CSRF 不适用于新应用程序中的页面。
在 HTML 标头中添加
<meta name="csrf_token" content="{{ csrf_token }}">
然后在你的 JS/Angular 配置中:
app.config(function($httpProvider){
$httpProvider.defaults.headers.post['X-CSRFToken'] = $('meta[name=csrf_token]').attr('content');
}
如果您使用 DRF,则需要添加
@api_view(['POST'])
function yourFunctionName(data_1,data_2){
context = {}
context['id'] = data_1
context['Valid'] = data_2
$.ajax({
beforeSend:function(xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
if (settings.url == "your-url")
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
},
url: "your-url",
type: "POST",
data: JSON.stringify(context),
dataType: 'json',
contentType: 'application/json'
}).done(function( data ) {
});
如果您输入了
{%csrf_token%}
,但仍然遇到同样的问题,请尝试更改您的角度版本。这对我有用。最初我在使用 Angular 1.4.x 版本时遇到了这个问题。在我将其降级为 Angular 1.2.8 后,我的问题得到了解决。不要忘记添加 angular-cookies.js 并将其放在您的 js 文件中。app.run(function($http, $cookies) {
console.log($cookies.csrftoken);
$http.defaults.headers.post['X-CSRFToken'] = $cookies.csrftoken;
});
1) {% csrf_token %} 不在模板中 - 或者 - 2) {% csrf_token %} 在 html 表单之外
使用装饰器:
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
def method_name():
# body
确保您的浏览器接受 cookie。我遇到了同样的问题。
<form action="/steps_count/" method="post">
{% csrf_token %}
Name: <input type="text" name="Name" /><br />
Steps: <input type="text" name="Steps" /><br />
<input type="submit" value="Add" />
</form>
检查对齐方式,表格内应留有一个空格。这就是几乎每个人都会犯错误的地方。
我在下面遇到了同样的错误:
CSRF验证失败。请求已中止。
因为我没有在<form></form>
中用
method="post"
设置csrf_token标签,如下图:
<form action="{% url 'account:login' %}" method="post">
{% comment %} {% csrf_token %} {% endcomment %}
...
</form>
所以,我在
csrf_token
中设置<form></form>
标签和method="post"
如下所示,然后错误就解决了:
<form action="{% url 'account:login' %}" method="post">
{% csrf_token %}
...
</form>
另外,无论你是否在
csrf_token
中设置了<form></form>
标签,如下所示,都不会出现错误。 * method="get"
只能将get
和post
请求方式设置为method
,不能设置为<form></form>
、head
等,根据答案:
put
<form action="{% url 'account:login' %}" method="get">
{% comment %} {% csrf_token %} {% endcomment %}
...
</form>