后端和前端分离时的 Django CSRF

Question

在网上搜索后，人们通常会处理这种情况——前端是由django视图函数生成的，它可以向用户发送csrf token的cookie。当用户使用ajax向服务器发出请求时，人们可以重写ajaxSend行为，将csrf发送到服务器。

然而，我的情况是我的前端与后端完全分离，即我的前端位于运行 nginx 的专用服务器中，并且我只有一个 html 使用 hashbang 提供所有不同的页面。我的后端使用不同的域名运行在不同的服务器上，在这种情况下，客户端如何获取csrf cookie？我的后端只提供json api返回。

谢谢。

Answer 1

这篇文章已经很老了，但对于仍然在这里徘徊的人来说：
对于客户端-服务器设置，例如本机桌面和移动客户端（以及像 OP 的情况一样的单独前端），最好使用 Django Rest Framework 的令牌身份验证。 链接

Answer 2

如果您查看 CRSF 令牌源：您可以看到所有csrf_middleware 会根据 post 值检查 cookie。 您只需要将 post 值返回到您的服务器，因为 cookie 应该已经通过 ajax 设置了。 如果您查看模板标签源，您可以看到它是只需将变量从上下文中取出即可。 要么将其从上下文中拉出（如果可用），要么将其粘贴在您的响应中，或者直接调用上下文处理器。现在你只需发送它作为 POST 变量 crsf_token 返回。

Answer 3

比方说，前端的域为 frontend.example.com，后端的域为 backend.example.com。 （如果你是类似Django Rest框架的东西）
如果可以使用，有两种方法可以启用安全层，即。 CSRF 保护或 CORS

对于 CORS，

pip install django-cors-headers

然后将其配置为 INSTALLED_APPS、MIDDLEWARE_CLASSES 并将前端域添加到 CORS_ORIGIN_WHITELIST。

CORS_ORIGIN_WHITELIST = (
    'frontend.example.com'
)

CORS 将阻止来自 frontend.example.com 以外的任何域的任何 http 请求

---

对于 CSRF，

CSRF_COOKIE_DOMAIN = ".mydomain.com"

如果您使用的是 Angular 应用程序，请执行如下操作，

$httpProvider.defaults.xsrfCookieName = 'csrftoken';
$httpProvider.defaults.xsrfHeaderName = 'X-CSRFToken';
$httpProvider.defaults.withCredentials = true;

然后在发出 http 请求时添加标头。

headers : {
    "x-csrftoken" : $cookies.csrftoken
}