django 程序ajax提交的方法,避免csrf错误
2014-06-16 16:07
309 查看
django为了安全起见,加入 csrf_token , 由此可以避免恶意提交,大家熟悉的workpress,用过的人都知道,每天都有很多垃圾评论,留言。管理很麻烦,虽然有插件可以过滤,但也不是很好。
不过不用 django ajax 提交,为了避免出现 csrf toke 错误,可以采取以下方法:
1. settings.py 中 MIDDLEWARE_CLASSES 中 注释掉'django.middleware.csrf.CsrfViewMiddleware'
2. 在你的views.py 的方法上加上 @csrf_exempt 装饰 (需要 from django.views.decorators.csrf import csrf_exempt)
3. 在你的views.py中方法上这样使用:
程序代码
context={}
context.update(csrf(request))
context['mycontent']='aaaa'
.....
return render_to_response('form.html',context)
那么在form.html这个模板里面就必须要有csrf_toke 这个隐藏字段,所以必须在form 里加上
程序代码
<form action='.'>
{% csrf_token %}
<input name="your_name" />
......
这样提交的时候,才不会报csrf_toke 错误.
以上都不是ajax方式提交的,如果是ajax方式,上面的第三种方式是不可以的,如果要想第三种方法也可以用,可以加入一个js文件。在你的html 页面<head>里面加入这个js的引用,就可以做到
比如:<script type="text/javascript" src="/static/js/jquery/mycookies.js"></script>
mycookies.js 内容如下,其实就是操作 cookies.
程序代码
/*====================django ajax ======*/
jQuery(document).ajaxSend(function(event, xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
function sameOrigin(url) {
// url could be relative or scheme relative or absolute
var host = document.location.host; // host + port
var protocol = document.location.protocol;
var sr_origin = '//' + host;
var origin = protocol + sr_origin;
// Allow absolute or scheme relative URLs to same origin
return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
(url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
// or any other URL that isn't scheme relative or absolute i.e relative.
!(/^(\/\/|http:|https:).*/.test(url));
}
function safeMethod(method) {
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
if (!safeMethod(settings.type) && sameOrigin(settings.url)) {
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
}
});
/*===============================django ajax end===*/
以上几种方法,都可以实现csrf错误的避免,还能用ajax方式提交. 不过个人推荐用 加载js文件方式,而且开启:'django.middleware.csrf.CsrfViewMiddleware' ,为了安全起见,用上面的第三种方法。
不过不用 django ajax 提交,为了避免出现 csrf toke 错误,可以采取以下方法:
1. settings.py 中 MIDDLEWARE_CLASSES 中 注释掉'django.middleware.csrf.CsrfViewMiddleware'
2. 在你的views.py 的方法上加上 @csrf_exempt 装饰 (需要 from django.views.decorators.csrf import csrf_exempt)
3. 在你的views.py中方法上这样使用:
程序代码
context={}
context.update(csrf(request))
context['mycontent']='aaaa'
.....
return render_to_response('form.html',context)
那么在form.html这个模板里面就必须要有csrf_toke 这个隐藏字段,所以必须在form 里加上
程序代码
<form action='.'>
{% csrf_token %}
<input name="your_name" />
......
这样提交的时候,才不会报csrf_toke 错误.
以上都不是ajax方式提交的,如果是ajax方式,上面的第三种方式是不可以的,如果要想第三种方法也可以用,可以加入一个js文件。在你的html 页面<head>里面加入这个js的引用,就可以做到
比如:<script type="text/javascript" src="/static/js/jquery/mycookies.js"></script>
mycookies.js 内容如下,其实就是操作 cookies.
程序代码
/*====================django ajax ======*/
jQuery(document).ajaxSend(function(event, xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
function sameOrigin(url) {
// url could be relative or scheme relative or absolute
var host = document.location.host; // host + port
var protocol = document.location.protocol;
var sr_origin = '//' + host;
var origin = protocol + sr_origin;
// Allow absolute or scheme relative URLs to same origin
return (url == origin || url.slice(0, origin.length + 1) == origin + '/') ||
(url == sr_origin || url.slice(0, sr_origin.length + 1) == sr_origin + '/') ||
// or any other URL that isn't scheme relative or absolute i.e relative.
!(/^(\/\/|http:|https:).*/.test(url));
}
function safeMethod(method) {
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
if (!safeMethod(settings.type) && sameOrigin(settings.url)) {
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
}
});
/*===============================django ajax end===*/
以上几种方法,都可以实现csrf错误的避免,还能用ajax方式提交. 不过个人推荐用 加载js文件方式,而且开启:'django.middleware.csrf.CsrfViewMiddleware' ,为了安全起见,用上面的第三种方法。
相关文章推荐
- django ajax提交避免csrf错误的方法
- 使用jquery.form.js的ajaxsubmit方法提交时参数file标签有值报JS错误
- Phalcon ajax防 csrf 提交方法
- Spring MVC ajax提交json数组时415错误解决方法
- django中给ajax提交加上csrf
- Django POST请求 错误 forbidden(403) CSRF verification failed. Request aborted 解决方法
- django中post提交表单时错误:CSRF verification failed. Request aborted
- django用jquery的ajax提交表单,中间件的CsrfViewMiddleware问题
- django中使用POST方法 使用ajax后出现“CSRF token missing or incorrect”
- django ajax提交 Forbidden CSRF token missing
- 解决Django提交post表单时出现的CSRF错误
- Django 对于CSRF verification failed.错误的解决方法
- Django 如何让ajax的POST方法带上CSRF令牌
- django遇到的错误 admian上无法保存汉字的问题 POST方法提交页面信息的时候
- 关于Ajax 错误:'sys'未定义解决方法.
- asp.net程序编译调试时偶尔出现访问被拒绝的错误的解决方法
- 使用Dojo实现页面不刷新提交数据时避免前台缓存的方法
- 解决javascript提交form出现错误提示:对象不支持此属性或方法
- SQL安装时出错,提示:安装程序配置服务器失败 参考服务器错误日志。针对其中一种情况的解决方法!
- Ajax.net 1.0跨域访问错误的解决方法