适用于 HTTP 和 HTTPS 的 Django CSRF

Question

我有一个在 HTTP 和 HTTPS 后面运行的博客，并且遇到了 csrf 令牌验证问题。

CSRF 令牌在每种形式中都可用，但当我在该网站的 HTTP 版本上并尝试提交评论时，我收到以下错误。

禁忌 (403) CSRF验证失败。请求被中止。

引荐来源检查失败 - http://mysite.com/blog/1/ 与 https://mysite.com/。

通过 HTTPS 查看博客时效果很好。

有人知道如何获得验证以匹配两者吗？

Answer 1

您可能需要检查您的设置，看看是否将 CSRF_COOKIE_SECURE 参数设置为 True

这会将 cookie 标记为安全，并阻止浏览器通过非安全连接（即 HTTP）接受它。

要检查这是否是问题的根源，您可以使用任何有效的视图并放入断言 False 来获取调试屏幕并查看 Csrf cookie 是否已发送或 nit。

Answer 2

我想通了。 的问题

这是我的 fastcgi 参数fastcgi_param HTTPS on

；设置需要启用 HTTPS 的环境变量。当此变量打开时，Django 会对 csrf 令牌执行一些额外的强制操作。