Django https + CSRF
我正在尝试使用 csrf 保护设置 django 站点工作权限 https。它在 nginx 服务器上工作。
nginx 在 https 上工作,我的 django 应用程序成功服务 GET 请求。当我尝试发出发布请求时,
Forbidden (403)
CSRF verification failed. Request aborted.
CSRF cookie not set.
设置
fastcgi_param HTTPS on;
我在 settings.py 中
SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True
但没有结果,但失败了。有什么想法吗?
更新! 现在我尝试使用我的 django 应用程序使用 nginx 来处理 http,我也遇到了同样的问题,所以 https 没有意义。 如何启动它与 nginx 一起使用 http 并使用 csrf 保护?
更新!和解决方案! Ensure_csrf_cookie - 装饰器强制将 csrf 令牌发送到请求的页面。 它对我有帮助,因为我的应用程序主要使用 ajax POST 和 GET,它们不使用标签。
I'm trying to setup django site work ower https with csrf protection. It work on nginx server.
nginx works on https and my django app succesful serve GET requests. when i try to make post request it's fail with
Forbidden (403)
CSRF verification failed. Request aborted.
CSRF cookie not set.
I set
fastcgi_param HTTPS on;
in settings.py
SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True
but no results. Is any ideas?
UPDATE!
Now i try to work with my django app ower http with nginx and i have the same problem, so https does not make a sense.
How can I start it work with nginx ower http and use csrf protection?
UPDATE! AND SOLUTION!
ensure_csrf_cookie - decorator to force sending csrf token to requested page.
it helps me because my app works mostly with ajax POST and GET, which don't use the tags.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
我相信你需要 html 模板中的 csrf 标签,
或者视图方法上方的装饰器...
阅读此处: https://docs.djangoproject.com/en/dev/ref/contrib/csrf/
I believe you need either the csrf tag inside your html template,
or a decorator above your view method ...
Read here: https://docs.djangoproject.com/en/dev/ref/contrib/csrf/