Не удалось выполнить проверку CSRF. Запрос прерван

Я пытаюсь создать очень простой сайт, на котором можно добавить данные в базу данных sqlite3. У меня есть форма POST с двумя текстовыми вводами.

index.html

{% if top_list %}
    <ul>
    <b><pre>Name    Total steps</pre></b>
    {% for t in top_list %}
        <pre>{{t.name}} {{t.total_steps}}</pre>
    {% endfor %}
    </ul>
    {% else %}
    <p>No data available.</p>
{% endif %}
<br>
<form action="/steps_count/" method="post">
    {% csrf_token %}
    Name: <input type="text" name="Name" /><br />
    Steps: <input type="text" name="Steps" /><br />
   <input type="submit" value="Add" />
 </form>

forms.py:

from django import forms
from steps_count.models import Top_List

class Top_List_Form(forms.ModelForm):
    class Meta:
        model=Top_List

views.py:

# Create your views here.
from django.template import Context, loader
from django.http import HttpResponse
from steps_count.models import Top_List
from steps_count.forms import Top_List_Form
from django.template import RequestContext
from django.shortcuts import get_object_or_404, render_to_response

def index(request):

if request.method == 'POST':
    #form = Top_List_Form(request.POST)
    print "Do something"
else:
    top_list = Top_List.objects.all().order_by('total_steps').reverse()
    t = loader.get_template('steps_count/index.html')
    c = Context({'top_list': top_list,})
    #output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list])
    return HttpResponse(t.render(c))

Однако, когда я нажимаю кнопку "отправить", я получаю ошибку 403:

CSRF verification failed. Request aborted.

Я включил {% csrf_token %} в index.html. Однако, если это проблема RequestContext, у меня действительно нет идеи о том, где и как ее использовать. Я хочу, чтобы все происходило на одной странице (index.html).

ОТВЕТЫ

Ответ 1

Используйте ярлык render, который автоматически добавляет RequestContext.

from django.http import HttpResponse
from django.shortcuts import get_object_or_404, render
from steps_count.models import Top_List
from steps_count.forms import Top_List_Form


def index(request):

    if request.method == 'POST':
        #form = Top_List_Form(request.POST)
        return HttpResponse("Do something") # methods must return HttpResponse
    else:
        top_list = Top_List.objects.all().order_by('total_steps').reverse()
        #output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list])
        return render(request,'steps_count/index.html',{'top_list': top_list})

Ответ 2

Когда вы обнаружили этот тип сообщения, это означает, что токен CSRF отсутствует или неверен. Таким образом, у вас есть два варианта.

  • Для форм POST вам необходимо:

    • Ваш браузер принимает файлы cookie.

    • В шаблоне внутри каждой формы POST есть тег шаблона {% csrf_token%}, который нацелен на внутренний URL-адрес.

  • Другой простой способ просто прокомментировать одну строку (НЕ РЕКОМЕНДУЕТСЯ) ('django.middleware.csrf.CsrfViewMiddleware') в MIDDLEWARE_CLASSES из вкладки настроек.

    MIDDLEWARE_CLASSES = (
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',

    )

Ответ 3

Возможно, вы пропустили добавление следующего в форму:

{% csrf_token %}

Ответ 4

Вы должны использовать

from django.shortcuts import render_to_response
.
.
.
return render_to_response("steps_count/index.html", {'top_list': top_list}, context_instance=RequestContext(request))

вместо

return HttpResponse(t.render(c))

прочитайте "Контекстные процессоры" и посмотрите эту ссылку для получения подробной информации о том, как защита CSRF работает в Django.

ОБНОВЛЕНИЕ

Я неправильно читаю HttpResponse как render_to_response. Я обновил свой предыдущий ответ.

Ответ 5

Общей ошибкой здесь является использование render_to_response (обычно это используется в старых учебниках), который автоматически не включает RequestContext. Render автоматически включает его.

Узнал об этом при создании нового приложения, следуя учебному курсу, и CSRF не работал на страницах в новом приложении.

Ответ 6

function yourFunctionName(data_1,data_2){
        context = {}
        context['id'] = data_1
        context['Valid'] = data_2
        $.ajax({
            beforeSend:function(xhr, settings) {
                    function getCookie(name) {
                            var cookieValue = null;
                            if (document.cookie && document.cookie != '') {
                                var cookies = document.cookie.split(';');
                                for (var i = 0; i < cookies.length; i++) {
                                    var cookie = jQuery.trim(cookies[i]);
                                    if (cookie.substring(0, name.length + 1) == (name + '=')) {
                                        cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                                        break;
                                    }
                                }
                            }
                            return cookieValue;
                        }
                        if (settings.url == "your-url")
                            xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
                    },

            url: "your-url",
            type: "POST",
            data: JSON.stringify(context),
            dataType: 'json',
            contentType: 'application/json'
        }).done(function( data ) {
    });

Ответ 7

Если вы поставили {%csrf_token%}, но проблема не исчезла, попробуйте изменить угловую версию. Это сработало для меня. Изначально я столкнулся с этой проблемой при использовании angular версии 1.4.x. После того, как я опустил его до версии 1.2.8, моя проблема была исправлена. Не забудьте добавить angular-cookies.js и поместить это в свой файл js.
Если вы используете почтовый запрос.

app.run(function($http, $cookies) {
    console.log($cookies.csrftoken);
    $http.defaults.headers.post['X-CSRFToken'] = $cookies.csrftoken;
});

Ответ 8

В своем HTML-заголовке добавьте

<meta name="csrf_token" content="{{ csrf_token }}">

Затем в вашем JS/ angular config:

app.config(function($httpProvider){
    $httpProvider.defaults.headers.post['X-CSRFToken'] = $('meta[name=csrf_token]').attr('content');
}

Ответ 9

Еще один хороший альтернативный способ исправить это - использовать аннотацию '@csrf_exempt'.

просто используйте @csrf_exempt в вашем методе.

import django.views.decorators import csrf_exempt

@csrf_exempt
def index(request):

и вам не нужно указывать {% csrf_token %} в своем html.

счастливого обучения..