Django Post 403禁止CSRF

Question

我有一个简单的Django webhook，尽管我已经用csrf_exempt标记了它，但它仍然返回403 forbidden的403 forbidden 。

以下是相关代码：

urls.py

 ...
 url(r'^mail/$', MailView.as_view(), name="mail"),
 ...

view.py

class MailView(View):
    @csrf_exempt
    def dispatch(self, *args, **kwargs):
        return super(MailTrackingView, self).dispatch(*args, **kwargs)

    def post(self, request, *args, **kwargs):
        return HttpResponse(status=204)

在向该端点发送数据时，Django提供了一个

Forbidden (CSRF cookie not set.): /mail/

我还必须设置什么才能不执行CSRF验证？

Answer 1

在模板的表单中添加{％csrf_token％}。

并声明：

CSRF_COOKIE_SECURE = True

https://docs.djangoproject.com/zh-CN/2.0/ref/settings/#csrf-cookie-secure

Answer 2

我相信您必须将其包装在method_decorator尝试

class MailView(View):
    @method_decorator(csrf_exempt))        
    def dispatch(self, *args, **kwargs):
        return super(MailTrackingView, self).dispatch(*args, **kwargs)

您还可以：

@method_decorator(csrf_exempt, name='dispatch')
class MailView(View):

更新资料

您是否将CSRF_USE_SESSIONS设置为True？

这是我用来测试的代码，它可以按预期工作； 如果装饰器被注释掉，我将收到403 CSRF失败，如果保留，则我的帖子成功。

查看文件

class MyView(View):

    @method_decorator(csrf_exempt)
    def dispatch(self, *args, **kwargs):
        return super(MyView, self).dispatch(*args, **kwargs)

    def post(self, request, *args, **kwargs):
        return HttpResponse(status=204)

    def get(self, request, *args, **kwargs):
        form = """
        Authenticated: {}
        <form method="post">
            <label for="your_name">Your name: </label>
            <input id="your_name" type="text" name="your_name">
            <input type="submit" value="OK">
        </form>
        """.format(request.user.is_authenticated())
        return HttpResponse(form)

URL文件

    url(r'^test/', views.MyView.as_view()),