Значок Django csrf + Angularjs

У меня есть django, работающий на сервере apache с использованием mod_wsgi, а также приложение angularjs, которое выполняется непосредственно apache, а не django. Я хотел бы сделать POST-вызовы на сервер django (работает rest_framework), но у меня возникают проблемы с токеном csrf.

Можно ли установить маркер с сервера, не помещая {% csrf token %} в качестве части шаблона (поскольку эти страницы не проходят через django)?

  • Я хотел бы иметь возможность получить токен csrf через запрос GET в качестве файла cookie.
  • Я хотел бы иметь возможность затем отправлять POST-запросы на сервер django с использованием значения cookie файла маркера csrf.

ОТВЕТЫ

Ответ 1

Django и AngularJS уже имеют поддержку CSRF, ваша часть довольно проста.

Во-первых, вам нужно включить CSRF в Django, я полагаю, вы уже сделали это, если нет, следуйте за Django doc https://docs.djangoproject.com/en/1.5/ref/contrib/csrf/#ajax.

Теперь Django установит cookie с именем csrftoken в первом запросе GET и ожидает пользовательский заголовок HTTP X-CSRFToken в последующих запросах POST/PUT/DELETE.

Для Angular он ожидает файл cookie с именем XSRF-TOKEN и будет делать запросы POST/PUT/DELETE с заголовком X-XSRF-TOKEN, поэтому вам нужно немного подкорректировать, чтобы оба они были друг с другом:

$httpProvider.defaults.xsrfCookieName = 'csrftoken';
$httpProvider.defaults.xsrfHeaderName = 'X-CSRFToken';

Добавьте выше две строки где-то в вашем js-коде, блок module.config() - это хорошее место для этого.

Что это.

ПРИМЕЧАНИЕ. Это для angular 1.1.5, более старым версиям может потребоваться другой подход.

Обновление:

Так как приложение angular не обслуживается django, чтобы позволить cookie быть установленным, приложение angular должно сначала выполнить запрос GET для django.

Ответ 2

var foo = angular.module('foo', ['bar']);

foo.config(['$httpProvider', function($httpProvider) {
    $httpProvider.defaults.xsrfCookieName = 'csrftoken';
    $httpProvider.defaults.xsrfHeaderName = 'X-CSRFToken';
}]);

И все модули и контроллеры, в которых используется $http, будут отправлять запросы с помощью токена csrf.

Ответ 3

После поиска, что сработало для меня, был этот пост со следующим кодом:

angular.module( '[your module name]',
    ... [some dependencies] ...
    'ngCookies',
    ... [other dependencies] ...
)
.run( function run( $http, $cookies ){

    // For CSRF token compatibility with Django
    $http.defaults.headers.post['X-CSRFToken'] = $cookies.get('csrftoken');
})

Это, конечно, после получения файла cookie через запрос GET с сервера django.

Я также рассмотрел некоторые другие ответы здесь, в том числе Е. Люн, но не смог найти ничего в официальных документах, определяющих изменения параметров по умолчанию для xsrf на $httpProvider, кроме этот запрос на растяжение, который не работал у меня во время написания этого сообщения.

Ответ 4

Я создал приложение Django для моего приложения AngularJS, в том же проекте Django, что и приложение Django для моего (REST) ​​API, которое обслуживает только файл index.html(который является только sym.link). Таким образом, CSRF Cookie устанавливается без дополнительного запроса GET.

Пожалуйста, см. мой ответ здесь Единичное веб-приложение AngularJS на субдомене. Разговор с API Jango JSON (REST) ​​в поддомене B с использованием защиты CORS и CSRF.

Ответ 5

Если у вас есть файлы cookie, запрещающие доступ к javascript, вам необходимо сделать следующее. В своем шаблоне перед созданием приложения django добавьте следующее:

<script>
    window.csrf_token = "{{ csrf_token }}";
</script>

В вашем приложении angular добавьте следующее:

angularApp.config(["$httpProvider", function($httpProvider) {
    $httpProvider.defaults.headers.common["X-CSRFToken"] = window.csrf_token;
}]);

Как минимум через Django 1.9, токен CSRF не изменяется с каждым запросом. Он изменяется только при входе пользователя в систему. Если вы используете одностраничное приложение angular, вам нужно убедиться, что вы reset токен при входе/выходе из системы, и это должно работать нормально.

ПРИМЕЧАНИЕ. Это не работает в Django 1.10 или новее из-за изменения токена CSRF для каждого запроса. См. Пропустить токен CSRF для Django до angular с помощью CSRF_COOKIE_HTTPONLY