Django Jeton CSRF sans les formes

Semble étrange, mais quel est le scénario de l'affichage du contenu avec Javascript (par exemple AJAX) sans l'aide d'un formulaire (qui pourrait être possible de lire plusieurs matières à partir de la surface).

Où dois-je placer le csrf_token balise de modèle? J'ai déjà ajouté l'AJAX Corrigé:
https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax

...mais j'ai l' "CSRF échec de la vérification. Demande abandonnée." Erreur 404.

OriginalL'auteur René Stalder | 2011-10-19

  1. 13

    Vous devez définir un en-tête HTTP personnalisé, X-CSRFToken, dans votre requête AJAX. Voir: https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax

    Si vous avez déjà suivi ce conseil, il convient de travail. Utilisez quelque chose comme Firebug pour suivre la demande qui lui est offert et inspecter les en-têtes pour s'assurer que l'en-tête personnalisé est vraiment passé. Si elle n'a pas, vérifiez votre de mise en œuvre de nouveau pour s'assurer que vous l'avez fait juste que les documents décrivent.

    Également note:

    En raison d'un bug introduit dans jQuery 1.5, l'exemple ci-dessus ne fonctionnera pas correctement sur cette version. Assurez-vous que vous exécutez au moins jQuery 1.5.1.

    Merci pour l'Astuce avec Firebug. Qui l'a fait. Pu voir le Jeton dans le Cookie et celui de la demande. Compris que le problème n'était pas à cette partie de mon application. Pour répondre à ma question: Le modèle de la balise de champ n'est pas nécessaire en raison de cette Pré-AJAX Fonction. Droit?
    Oui, et si je comprends les docs correctement, Django est outmoding la balise de modèle entièrement, en préférant les cookies pour la manipulation du jeton CSRF.

    OriginalL'auteur Chris Pratt

  2. 1

    c'est simple avec ce code:

    $.ajaxSetup({ data: {csrfmiddlewaretoken: '{{ csrf_token }}' },});

    voir plus: https://stackoverflow.com/a/7715325/1743582

    OriginalL'auteur sanfirat

  3. 0

    Un jeton CSRF est attribué à chaque session ( c'est à dire à chaque fois que vous vous connectez). Donc, avant de vous souhaiter obtenir des données saisies par l'utilisateur et l'envoyer à l'ajax appel à une fonction qui est protégé par csrf_protect décorateur, essayez de trouver les fonctions qui sont en train d'être appelée avant que vous êtes l'obtention de ces données par l'utilisateur. E. g. certains modèle doit être rendu sur ce qui est votre nom d'utilisateur d'entrer des données. Ce modèle est en cours de rendu par une certaine fonction. Dans cette fonction, vous pouvez obtenir jeton csrf comme suit: csrf = request.Les COOKIES['csrftoken'] Maintenant passer à ce csrf de la valeur dans le contexte dictionnaire contre le modèle en question est en cours de rendu. Maintenant, dans ce modèle écrire cette ligne: Maintenant, dans votre fonction javascript, avant de faire une requête ajax, écrire ceci: var csrf = $('#csrf').val() ce sera de choisir la valeur de jeton passé à un modèle et de le stocker dans la variable csrf. Maintenant, tout en faisant appel ajax, dans votre post données, transmettre cette valeur ainsi : "csrfmiddlewaretoken": csrf

    Cela fonctionne même si vous n'êtes pas la mise en œuvre de django formes.

    En fait, la logique est la suivante : Vous devez jeton que vous pouvez obtenir à partir de la demande. Donc, vous avez juste besoin de comprendre à la fonction appelée immédiatement après l'ouverture de session. Une fois que vous avez ce jeton, soit faire un autre appel ajax pour l'obtenir ou la passer certains modèle, qui est accessible par votre ajax.

    OriginalL'auteur AMIT PRAKASH PANDEY

  4. 0

    Il y a deux étapes de la configuration de jeton CSRF, si vous voulez poster sans une forme. Fondamentalement obtenir le csrftoken de Cookie, et la Tête avec csrftoken (avant d'afficher les données).

    1) Obtenir le csrftoken de Cookie.

    //Function to GET csrftoken from Cookie
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            //Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}

var csrftoken = getCookie('csrftoken');

    2) une Fois que vous avez la csrftoken, vous devez définir l'en-Tête avec csrftoken (avant d'afficher les données).

    function csrfSafeMethod(method) {
    //these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}

//Function to set Request Header with `CSRFTOKEN`
function setRequestHeader(){
    $.ajaxSetup({
        beforeSend: function(xhr, settings) {
            if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
                xhr.setRequestHeader("X-CSRFToken", csrftoken);
            }
        }
    });
}

function postSomeData() {
    .....
    setRequestHeader();

    $.ajax({
        dataType: 'json',
        type: 'POST',
        url: "/url-of-some-api/",
        data: data,
        success: function () {
            alert('success');
        },
        error: function () {
            alert('error');
        }
    });

}

    OriginalL'auteur SuperNova