Django renvoie une erreur 403 lors de l'envoi d'une requête POST

quand je suis en utilisant le code Python suivant pour envoyer une requête POST à mon site web de Django, je suis 403: Forbidden erreur.

url = 'http://www.sub.domain.com/'
values = { 'var': 'test' }

try:
    data = urllib.urlencode(values, doseq=True)
    req = urllib2.Request(url, data)
    response = urllib2.urlopen(req)
    the_page = response.read()
except:
    the_page = sys.exc_info()
    raise

Quand je suis à l'ouverture de tout autre site web il fonctionne correctement.
domain.com est le site web de Django trop, et il fonctionne correctement aussi.
Je pense, que Django config problème, quelqu'un peut-il me dire ce que dois-je faire pour donner accès à mon script?

  • Pouvez-vous aller à la page web à partir d'un navigateur web normal?
  • Je peux obtenir à partir du navigateur. Mon serveur de logs sont vides, je n'ai pas suffisamment de piriveges à la vue de tous sur mon hébergement.
  • stackoverflow.com/a/30210391/940098
InformationsquelleAutor Djent | 2011-07-23
  1. 29

    Le point de vue que vous poster pour avoir un Django Forme sur elle? Si oui, je me demande si c'est de donner une csrf erreur. Je pense que se manifeste comme une 403. Dans ce cas, vous devez ajouter le {{ csrf_token }} la balise. Juste une pensée.

    • Où ai-je ajouter cette balise? Si un modèle ne fonctionne pas. Voici mon avis: dpaste.com/575405, t.html est tout simplement {{ form }}
    • pouvez-vous mettre à jour la question d'origine d'inclue votre code(affichage, url, forme) et html au lieu de lier hors de dpaste?
    • pourquoi t.html seulement un {{form}} est-il inclus dans d'autres pages? si vous venez de mettre {{form}} il n'est pas valide, la page web, et même pas une forme valide depuis {{form}} met juste les éléments de formulaire, il faut encore ajouter les balises form autour d'elle.
    • Si c'est une csrf problème, vous pouvez essayer de désactiver la csrf temporarliy sur le point de vue et voir si cela fonctionne, et si oui, alors vous savez ce qu'est la question. consultez ce document pour obtenir de l'aide. docs.djangoproject.com/en/1.3/ref/contrib/csrf/#exceptions
    • Réponse correcte.
    InformationsquelleAutor Joe J
  2. 47

    Regardez ici https://docs.djangoproject.com/en/dev/ref/csrf/#how-to-use-it.

    Essayer de marquage de votre point de vue avec @csrf_exempt. De cette façon, Django CSRF middleware ignore protection CSRF. Vous aurez également besoin d'utiliser from django.views.decorators.csrf import csrf_exempt. Voir: https://docs.djangoproject.com/en/dev/ref/csrf/#utilities

    S'il vous plaît noter qu'en désactivant la protection CSRF sur votre vue, vous ouvrez une porte pour les attaques de type CSRF.

    Si la sécurité est vital pour vous, alors pensez à utiliser @csrf_exempt suivie par @requires_csrf_token (voir: https://docs.djangoproject.com/en/dev/ref/csrf/#unprotected-view-needs-the-csrf-token). Puis, dans votre script de passer cette marque et c'est tout.

    • Merci beaucoup pour le partage de deux liens ci-dessus. Mon code fonctionne parfaitement bien après l'ajout de cette instruction d'importation de django.les vues.les décorateurs.csrf importation csrf_protect et après la prise de fonction spécifique exemptés comme ceci @csrf_exempt encore une Fois merci beaucoup.
    InformationsquelleAutor bx2
  3. 3

    La réponse est 403 parce que django nécessite un jeton csrf (inclus dans le message de données) dans chaque POST que vous faites.

    Il y a différentes façons de le faire, tels que:

    Acquérir le jeton de cookies et de la méthode a été expliqué dans l'article entrez description du lien ici

    ou

    Vous pouvez y accéder depuis les DOM à l'aide de {{ csrf_token }}, disponible dans le modèle

    Maintenant en utilisant la deuxième méthode:

    var post_data = {
  ...
  'csrfmiddlewaretoken':"{{ csrf_token }}"
  ...
}

$.ajax({
  url:'url',
  type:'POST'
  data:post_data,
  success:function(data){
    console.log(data);
  },
  error:function(error){
    console.log(error);
  }
});
    InformationsquelleAutor Hiro
  4. 0

    Ou vous pouvez autoriser la permission de faire cette requête post.

    Note: Doit être utilisé dans le cas où vous n'avez pas besoin d'authentifier les utilisateurs de poster quoi que ce soit sur notre serveur, disent, quand un nouvel utilisateur s'enregistre pour la première fois. 

    from rest_framework.permissions import AllowAny

class CreateUser(APIView):
    permission_classes = (AllowAny,)
    def post(self, request, format=None):
        return(Response("hi"))

    Note en outre que, Si vous voulez faire ce post formulaire de demande d'un autre domaine (dans le cas où le front de l'application est de Réagir ou angulaire et le backend est dans Django), assurez-vous que le ajoutez ce qui suit dans le fichier de paramètres:

    1. Mise à jour de la INSTALLED_APPS l'utilisation de 'coreHeaders' :

      INSTALLED_APPS = [

      'corsheaders',

      ]

    2. Liste blanche de votre front-end de domaine par l'ajout suivant au fichier de paramètres de nouveau:

      CORS_ORIGIN_WHITELIST = (
      'localhost:8080',
      )

    InformationsquelleAutor Santosh Pillai
  5. 0

    Documentation de Django fournit plusieurs façons de s'assurer que les jetons CSRF sont inclus. Voir https://docs.djangoproject.com/en/1.11/ref/csrf/ pour plus de détails.

    InformationsquelleAutor polarise
  6. 0

    J'ai eu cette erreur lorsqu'un Jeton d'authentification est expiré ou lorsque aucun Jeton a été envoyé avec la demande. À l'aide d'un signe renouvelé résolu le problème. 

    curl -X POST -H "Authorization: Token mytoken" -d "name=myname&age=0" 127.0.0.1:8000/myapi/

    ou 

    curl -X POST -H "Authorization: JWT mytoken" -d "name=myname&age=0" 127.0.0.1:8000/myapi/

    selon le type de Jeton.

    InformationsquelleAutor DevB2F