我正在使用Django 1.3 Web Development。对于登录,我得到以下错误
Forbidden (403)
CSRF verification failed. Request aborted.
Help
Reason given for failure:
CSRF token missing or incorrect.这是我的settings.py包括的应用程序。这正是书上说的应该的样子。
INSTALLED_APPS = (
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.sites',
'django.contrib.messages',
'django.contrib.staticfiles',
# Uncomment the next line to enable the admin:
'django.contrib.admin',
# Uncomment the next line to enable admin documentation:
# 'django.contrib.admindocs',
'djangocricket.Cricket',
'djangocricket.cms'
)这本书说,它应该包含,django.contrib.auth.views.login ..我把它包含在
urlpatterns = patterns('',
# Examples:
url(r'^$', 'djangocricket.Cricket.views.index', name='default'),
url(r'^user/(\w+)/$', 'djangocricket.Cricket.views.user_home', name='user home'),
url(r'^login/$', 'django.contrib.auth.views.login'),
# url(r'^djangocricket/', include('djangocricket.foo.urls')),
# Uncomment the admin/doc line below to enable admin documentation:
#url(r'^admin/doc/', include('django.contrib.admindocs.urls')),
# Uncomment the next line to enable the admin:
url(r'^news/', 'djangocricket.cms.views.index', name='index'),
#url(r'^news/(?P<slug>[^\.]+).html', 'djangocricket.cms.views.detail', name='get_single_news_item'),
url(r'^admin/', include(admin.site.urls)),
)还有我的registration/login.html ...从书上粘贴下来的副本。应该可以。
<html>
<head>
<title>Django Bookmarks - User Login</title>
</head>
<h1>User Login</h1>
{% if form.errors %}
<p>Your username and password didn't match.
Please try again.</p>
{% endif %}
<form method="post" action=".">
<p><label for="id_username">Username:</label>
{{ form.username }}</p>
<p><label for="id_password">Password:</label>
{{ form.password }}</p>
<input type="hidden" name="next" value="/" />
<input type="submit" value="login" />
</form>
</body>
</html>我错过了什么?
7条答案
按热度按时间cwxwcias1#
您需要将
{% csrf_token %}模板标记添加为Django模板中form元素的子元素。通过这种方式,模板将呈现一个隐藏元素,其值设置为CSRF令牌。当Django服务器收到表单请求时,Django将验证令牌是否与表单中呈现的值匹配。这对于确保POST请求(即数据更改请求)来自真实的客户端会话是必要的。
有关更多信息,请查看Django文档:https://docs.djangoproject.com/en/dev/ref/csrf/
以下是跨站点请求伪造攻击的概述:https://www.owasp.org/index.php/CSRF
mv1qrgav2#
如果您使用的是
csrf_token模板标签,并且问题没有解决,请检查CSRF_COOKIE_DOMAIN设置。您应该在开发环境中设置为None。ryevplcw3#
我遇到了同样的问题。我在添加{% csrf_token %}时解决了这个问题。最后我的代码是这样的:
mpbci0fu4#
只是想给这个主题的额外信息。如果它曾经发生在你身上,你肯定令牌被注入到表单中,视图函数处理一切都很好,但问题仍然存在。确保没有javascript代码禁用输入字段。发生在我身上,经过几个小时的调试,终于意识到这一点。
g52tjvyc5#
将
csrf_token添加到POST表单:在Django 4.0中,设置
CSRF_TRUSTED_ORIGINS也很重要。guicsvcw6#
在你的表格里。这对我很有效。那么为什么我们要使用跨站点请求伪造?
好吧,答案很简单,它只是为您的网页添加了另一个安全层,任何恶意用户都无法使用错误的令牌验证请求。
dpiehjr47#
在模板中的表单标记之后,您必须并且应该将CSRF令牌以Jing格式放置在模板上。例如{% csrf_token %}。
在任何使用POST表单的模板中,请在元素中使用csrf_token标签。如果您不想使用csrf_token,则可以在主应用的设置文件中禁用它。
对于您的模板,只需使用