我很难理解为什么来自第三方网站的帖子被拒绝,即使该网站已添加到settings.py中的CSRF_TRUSTED_ORIGINS列表。我收到一个403错误后,指出csrf检查已失败的帖子。我认为添加该网站到CSRF_TRUSTED_ORIGINS应该使该网站免受csrf检查。为了接收来自外部的post请求,我还需要做些什么吗?我正在运行django3.2
CSRF_TRUSTED_ORIGINS = ['site.lv']请求标头:
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9,lv;q=0.8,ru;q=0.7
Cache-Control: no-cache
Connection: keep-alive
Content-Length: 899
Content-Type: application/x-www-form-urlencoded
Host: cvcentrs-staging.herokuapp.com
Origin: https://www.site.lv
Pragma: no-cache
Referer: https://www.site.lv/
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="96", "Microsoft Edge";v="96"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36 Edg/96.0.1054.62
2条答案
按热度按时间dbf7pr2w1#
这个假设是错误的:
我认为将该站点添加到CSRF_TRUSTED_ORIGINS应该使该站点免除csrf检查。
添加
CSRF_TRUSTED_ORIGINS的URL只是允许来自外部域中表单的POST请求所需执行的一项操作。您还需要:csrf_token,并将令牌与POST请求一起发送。从Django 4.0开始,你必须在
CSRF_TRUSTED_ORIGINS中包含这个方案:6gpjuf902#
要启用CSRF_TRUSTED_ORIGINS,请执行以下步骤
将此添加到已安装的应用程序
1.已安装的应用程序= [ 'corsheaders',]
把它添加到中间件中
1.中间件= [ '通信头.中间件.通信中间件',]
确保添加https
1.可信来源=[“https:site.lv”]
1.如果它仍然不起作用,请在函数之前将这个装饰器添加到视图中
从django.views.decorators.csrf导入csrf_exempt
@csrf_豁免
定义登录():