堆栈内存溢出
  繁体   English   中英

Django CSRF 和 axios 发布 403 Forbidden

[英]Django CSRF and axios post 403 Forbidden

 原文  2020-03-09 15:57:02       django/ graphql/ axios/ csrf/ nuxt.js

问题描述

我使用 Django 和石墨烯作为后端,使用 Nuxt 作为前端。 当我尝试将请求从 nuxt 发布到 django 时出现问题。 在邮递员中一切正常,在 nuxt 中我收到 403 错误。

姜戈

# url.py

urlpatterns = [
    path('admin/', admin.site.urls),
    path('api/', GraphQLView.as_view(graphiql=settings.DEBUG,
                                     schema=schema)),
]

# settings.py

CORS_ORIGIN_WHITELIST = 'http://localhost:3000'
CORS_ALLOW_CREDENTIALS = True
CSRF_USE_SESIONS = False
CSRF_COOKIE_HTTPONLY = False
CSRF_COOKIE_SAMESITE = None

NuxtJs

# nuxt.config.js

axios: {
  baseURL: 'http://127.0.0.1:8000/',
  debug: false,
  progress: true,
  credentials: true
},

# plugins/axios.js

await $axios.onRequest((config) => {
    config.headers.common['Content-Type'] = 'application/json'
    config.xsrfCookieName = 'csrftoken'
    config.xsrfHeaderName = 'X-CSRFToken'
    const csrfCookie = app.$cookies.get('csrftoken')
    config.headers.common['X-CSRFToken'] = csrfCookie
    console.log(config)

# store/contact.js

import { AddMessage } from '../queries/contact.js'

export const actions = {
  async send() {
    const message = await this.$axios({
      url: 'api/',
      method: 'POST',
      data: AddMessage
    })
  }
}


# queries/contact.js

export const AddMessage = {
  query: `
    mutation AddContact($input: AddMessageInput!){
      addMessage(input: $input){
        message{
        name
        email
        body
        terms
        }
      }
    }
  `,
  variables: `
  {
    "input":{
      "name": "test",
      "email": "test@test.com",
      "body": "test",
      "terms": true,
    }
  }
  `,
  operationName: 'AddMessage'
}

某事

是来自 axios 帖子的请求标头。 对我来说奇怪的是 cookie 的值错误。 令牌的良好价值存在于 X-CSRFToken 标头中。

是来自 axios post 请求的日志。 对我来说另一个奇怪的事情是未定义的标头:Content-Type 和 X-CSRFToken

谢谢!

1 个解决方案

解决方案1
 0  2020-03-24 11:51:51

我解决了这个问题,我想在这里分享解决方案。

cookie 值错误的问题是由管理(我不记得如何)从后端应用程序获取 csrf cookie 的前端应用程序生成的。 X-CSRFToken标头中,令牌是从响应的Set-cookie标头接收的,在Cookie标头中是来自后端应用程序的 cookie。

在我用127.0.0.1更改localhost并在 axios 插件中添加config.xsrfCookieName = 'csrftoken' ,我能够分离应用程序,独立保存和使用 cookie。

第二个问题,未定义的头是由 axios 生成的。 这两行代码解决了这个问题。 这些也在 axios onRequest 方法中添加。

config.xsrfHeaderName = 'X-CSRFToken'
config.headers['Content-Type'] = 'application/json'

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Django Post 403禁止CSRF Django 403 禁止 CSRF 在 Django 中使用 AJAX POST 请求进行 CSRF 检查期间禁止 403 Django + VueJS:POST 403 Forbidden - CSRF 令牌丢失或不正确 django中的csrf(forbidden 403)错误 Django - 403 Forbidden - CSRF令牌丢失或不正确 Django - 403 Forbidden CSRF验证失败 Django表单提交和CSRF(禁止使用403) 403 禁止的 CSRF 验证失败 React Django django ajax post 403禁止
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM