1
나는 장고에서 CSRF와 이상한 문제가 있습니다. 내 자바 스크립트 파일에서Django ajax 403 때문에 httponly 쿠키
내가 가진 : 다음은 관련 부분이다
다음function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$(function() {
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
})
$.post('/api/jpush',
$.param({'recipients': recipients, 'message': message, 'url': url,
'url_title': url_title, 'priority': priority,
'csrftoken': getCookie('csrftoken')}),
...
내가보기에이 :
def push(request):
return render(request, 'api/push.html')
def jpush(request):
tmplData = {'result': False}
if not request.POST:
return HttpResponseBadRequest(request)
elif request.POST.viewkeys() & {'recipients', 'message', 'priority'}:
tmplData = { 'results': send(request.POST) }
return JsonResponse(tmplData)
....
내 템플릿 :
<form id="push" class="form-horizontal" action="" method="post">{% csrf_token %}
그러나 내가 아약스를 사용하여 게시 할 때 403이 나오고 방화범이 표시되면 crsftoken 값이 null이고 csrftoken 쿠키가 http라는 것을 보여줍니다 만. CSRF_COOKIE_HTTPONLY을 내 settings.py에서 False로 설정 했으므로 쿠키가 httpOnly로 강제되는 이유를 알지 못합니다. 나는 장고 1.10을 사용하고있다.
감사
'CSRF_COOKIE_HTTPONLY = False'를 설정하기 전의 유일한 http 전용 쿠키. 쿠키를 지우고 다시 시도하십시오. – Alasdair
예, 설정 파일을'settings.py' 파일에 넣었습니다. 쿠키를 여러 번 지웠지 만 방화 광에 의하면 항상 httponly로 돌아옵니다. 나는'document.cookie'로 쿠키를 보았습니다 만, 어떤 방화범이 끌리는지 확인하는 중 어느 쪽에도 보이지 않습니다. – echodrome
서버를 재설정 한 다음 설정을 변경 한 후 쿠키를 삭제했는지 확인하십시오. – Alasdair