[英]Django Post 403 forbidden CSRF
我有一个简单的Django webhook,尽管我已经用csrf_exempt
标记了它,但它仍然返回403 forbidden
的403 forbidden
。
以下是相关代码:
urls.py
...
url(r'^mail/$', MailView.as_view(), name="mail"),
...
view.py
class MailView(View):
@csrf_exempt
def dispatch(self, *args, **kwargs):
return super(MailTrackingView, self).dispatch(*args, **kwargs)
def post(self, request, *args, **kwargs):
return HttpResponse(status=204)
在向该端点发送数据时,Django提供了一个
Forbidden (CSRF cookie not set.): /mail/
我还必须设置什么才能不执行CSRF验证?
在模板的表单中添加{%csrf_token%}。
并声明:
CSRF_COOKIE_SECURE = True
https://docs.djangoproject.com/zh-CN/2.0/ref/settings/#csrf-cookie-secure
我相信您必须将其包装在method_decorator
尝试
class MailView(View):
@method_decorator(csrf_exempt))
def dispatch(self, *args, **kwargs):
return super(MailTrackingView, self).dispatch(*args, **kwargs)
您还可以:
@method_decorator(csrf_exempt, name='dispatch')
class MailView(View):
您是否将CSRF_USE_SESSIONS
设置为True?
这是我用来测试的代码,它可以按预期工作; 如果装饰器被注释掉,我将收到403 CSRF失败,如果保留,则我的帖子成功。
class MyView(View):
@method_decorator(csrf_exempt)
def dispatch(self, *args, **kwargs):
return super(MyView, self).dispatch(*args, **kwargs)
def post(self, request, *args, **kwargs):
return HttpResponse(status=204)
def get(self, request, *args, **kwargs):
form = """
Authenticated: {}
<form method="post">
<label for="your_name">Your name: </label>
<input id="your_name" type="text" name="your_name">
<input type="submit" value="OK">
</form>
""".format(request.user.is_authenticated())
return HttpResponse(form)
url(r'^test/', views.MyView.as_view()),
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.