CSRF验证失败，但仅限于IE9

Question

我已经按照 Django 文档 中所述设置了 CSRF（使用 Django 1.3）。它适用于 FF 和 Safari，但在 IE9 上，我

<div id="summary">
<h1>Forbidden <span>(403)</span></h1>
<p>CSRF verification failed. Request aborted.</p>
</div>

在 Ajax 请求的响应标头中发现，

Set-Cookie  csrftoken=8db3637951243ffb591e6b2d6998ed03; expires=Fri, 14-Sep-2012 08:01:52 GMT; Max-Age=31449600; Path=/

当以普通表单（即不涉及 Ajax）使用它时，它可以在 IE9 中工作。

我在 nginx/1.1.2 后面使用 Django。

我在这里缺少什么提示吗？

Answer 1

如果您的表单位于 iframe 内，可能的原因是 IE 阻止第三方 cookie 的默认策略。您无法

• 使用 iframe，
• 将 iframe 页面置于与主页相同的域下，
• 使用 @csrf_exempt 装饰器，或者
• 使用 HTTP 标头来告诉浏览器允许第三方 cookie（请参阅 Chase Seibert 对这个问题的精彩解释）。

Django 的票证 #17157 建议在文档中添加有关此问题的注释。

Answer 2

我遇到了同样的问题，对我来说问题是我没有指定表单操作属性。 IE 显然不允许这样做。

Answer 3

在 Django 的票证 #17157 （感谢 @akaihola 提供的链接）中，指出问题在于 Internet默认情况下，资源管理器会阻止第三方 cookie。因此，您可以在浏览器设置中为所有网站或仅为您的网站启用第三方 Cookie。
以下是在 IE 7 中执行此操作的方法（来自此链接）：

1. 单击“工具”菜单
2. 单击“Internet 选项”
3. 选择“隐私”选项卡

选项 1：为所有站点启用第三方 cookie

1. 单击“高级”
2. 选择“覆盖自动 cookie 处理”
3. 选择下面的“接受”按钮“第三方 Cookie”并单击“确定”

或

选项 2：要仅为 Feedjit.com 启用第三方 Cookie，

1. 请单击“站点”
2. 添加“your-domain.com”并单击“允许”
3. 单击“确定”
4. 选择“第三方 Cookie”下的“接受”按钮，然后单击“确定”