Django Rest Framework удалить csrf

Question

Django Rest Framework удалить csrf

46

Я знаю, что есть ответы на Django Rest Framework, но я не смог найти решение моей проблемы.

У меня есть приложение, имеющее аутентификацию и некоторые функции. Я добавил к нему новое приложение, которое использует Django Rest Framework. Я хочу использовать библиотеку только в этом приложении. Также я хочу сделать запрос POST, и я всегда получаю этот ответ:

{
    "detail": "CSRF Failed: CSRF token missing or incorrect."
}

У меня есть следующий код:

# urls.py
from django.conf.urls import patterns, url


urlpatterns = patterns(
    'api.views',
    url(r'^object/$', views.Object.as_view()),
)

# views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from django.views.decorators.csrf import csrf_exempt


class Object(APIView):

    @csrf_exempt
    def post(self, request, format=None):
        return Response({'received data': request.data})

Я хочу добавить API, не затрагивая текущее приложение. Итак, мои вопросы: как отключить CSRF только для этого приложения?

Irene Texas 16 июнь 2015, в 17:06

Источник

0

Вы уже используете токен @csrf_exempt Вы можете использовать это на весь вид. Разве это не должно работать?
mukesh 16 июнь 2015, в 14:55
0

Нет, я все еще получил детали: «Ошибка CSRF: токен CSRF отсутствует или неверен». сообщение. Из ответов я пришел к выводу, что мне следует удалить аутентификацию по умолчанию.
Irene Texas 17 июнь 2015, в 06:04
1

Я столкнулся с ОЧЕНЬ похожей ситуацией с использованием токена аутентификации. Для всех, кто находится в той же лодке: stackoverflow.com/questions/34789301/…
The Brewmaster 17 янв. 2016, в 10:13

Показать ещё 1 комментарий

Теги:

django

csrf

django-csrf

django-rest-framework

6 ответов

7

Простое решение:

В views.py используйте скобки CsrfExemptMixin и authentication_classes:

# views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from django.views.decorators.csrf import csrf_exempt
from braces.views import CsrfExemptMixin


class Object(CsrfExemptMixin, APIView):
    authentication_classes = []

    def post(self, request, format=None):
        return Response({'received data': request.data})

bixente57 16 дек. 2015, в 17:56

1

К вашему сведению - django-braces.readthedocs.org/en/latest/index.html
Chemical Programmer 25 дек. 2015, в 09:12
1

Спасибо, это самое простое решение проблемы. Мой API, используя oauth2_provider и токен.
Dat TT 13 сен. 2016, в 06:46
0

аааа, чувак У меня был CsrfExemptMixin, но не было authentication_classes = []. Спасибо!
MagicLAMP 01 нояб. 2017, в 03:32
0

К вашему сведению, строка authentication_classes кажется ключом. Работает одинаково для меня с или без CsrfExemptMixin.
Dashdrum 25 дек. 2017, в 15:27

Показать ещё 2 комментария

6

Если вы не хотите использовать аутентификацию на основе сеанса, вы можете удалить "Аутентификацию сеанса" из REST_AUTHENTICATION_CLASSES и автоматически удалить все проблемы на основе csrf. Но в этом случае Apache с возможностью просмотра может не работать. Кроме того, эта ошибка не должна появляться даже при проверке сеанса. Вы должны использовать пользовательскую аутентификацию, такую как TokenAuthentication для своей apis, и не забудьте отправить Accept:application/json и Content-Type:application/json (если вы используете json) в своих запросах вместе с токеном аутентификации.

hspandher 16 июнь 2015, в 17:18

3

Меня поражает та же проблема. Я выполнил эту ссылку, и она сработала. Решение заключается в создании промежуточного программного обеспечения

Добавьте файл disable.py в одно из ваших приложений (в моем случае это "myapp" )

class DisableCSRF(object):
    def process_request(self, request):
        setattr(request, '_dont_enforce_csrf_checks', True)

И добавьте мини-диск в MIDDLEWARE_CLASSES

MIDDLEWARE_CLASSES = (
myapp.disable.DisableCSRF,
)

Venkatesh Mondi 18 нояб. 2015, в 12:50

2

Это сделает весь ваш сайт подверженным CSRF-атакам. en.wikipedia.org/wiki/Cross-site_request_forgery
Jeanno 15 июнь 2018, в 14:06
0

это не работает для меня :(
jsmedmar 02 фев. 2019, в 21:46

0

Для всех, кто какой-то ответ не поможет. Да DRF автоматически удаляет CSRF-защиту, если вы не используете SessionAuthentication AUTHENTICATION CLASS, например, многие разработчики используют только JWT:

'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
    ),

Но проблема CSRF not set может возникнуть по какой-то другой причине, поскольку вы не правильно добавили путь к вам:

url(r'^api/signup/', CreateUserView),  # <= error! DRF cant remove CSRF because it is not as_view that does it!

вместо

url(r'^api/signup/', CreateUserView.as_view()),

user3479125 01 апр. 2017, в 15:21

0

Спасибо за разъяснение правильного способа добавления путей!
Liliane 04 март 2019, в 16:10

0

Если вы используете эксклюзивную виртуальную среду для своего приложения, вы можете использовать следующий подход без каких-либо других приложений.

То, что вы наблюдаете, происходит потому, что rest_framework/authentication.py имеет этот код в методе authenticate класса SessionAuthentication:

self.enforce_csrf(request)

Вы можете изменить класс Request, чтобы иметь свойство с именем csrf_exempt и инициализировать его внутри вашего соответствующего класса View до True, если вы не хотите, чтобы CSRF проверили. Например:

Затем измените приведенный выше код следующим образом:

if not request.csrf_exempt:
    self.enforce_csrf(request)

Есть некоторые связанные изменения, которые вы должны сделать в классе Request. Полная реализация доступна здесь (с полным описанием): https://github.com/piaxis/django-rest-framework/commit/1bdb872bac5345202e2f58728d0e7fad70dfd7ed

Reetesh Ranjan 28 июль 2016, в 16:57

Ещё вопросы

Вы уже используете токен @csrf_exempt Вы можете использовать это на весь вид. Разве это не должно работать?
Нет, я все еще получил детали: «Ошибка CSRF: токен CSRF отсутствует или неверен». сообщение. Из ответов я пришел к выводу, что мне следует удалить аутентификацию по умолчанию.
Я столкнулся с ОЧЕНЬ похожей ситуацией с использованием токена аутентификации. Для всех, кто находится в той же лодке: stackoverflow.com/questions/34789301/…
К вашему сведению - django-braces.readthedocs.org/en/latest/index.html
Спасибо, это самое простое решение проблемы. Мой API, используя oauth2_provider и токен.
аааа, чувак У меня был CsrfExemptMixin, но не было authentication_classes = []. Спасибо!
К вашему сведению, строка authentication_classes кажется ключом. Работает одинаково для меня с или без CsrfExemptMixin.
Это сделает весь ваш сайт подверженным CSRF-атакам. en.wikipedia.org/wiki/Cross-site_request_forgery
Спасибо за разъяснение правильного способа добавления путей!

Rahul Gupta · Accepted Answer · 2015-06-16T19-35-00.000Z

Почему эта ошибка происходит?

Это происходит из-за стандартной схемы SessionAuthentication, используемой DRF. DRF SessionAuthentication использует среду сеансов Django для аутентификации, которая требует проверки CSRF.

Если вы не определяете authentication_classes в своем представлении/просмотре, DRF использует эти классы проверки подлинности как значения по умолчанию.

'DEFAULT_AUTHENTICATION_CLASSES'= (
    'rest_framework.authentication.SessionAuthentication',
    'rest_framework.authentication.BasicAuthentication'
),

Поскольку DRF должен поддерживать как сеансовую, так и несинхронную аутентификацию для одних и тех же представлений, он обеспечивает проверку CSRF только для аутентифицированных пользователей. Это означает, что только аутентифицированные запросы требуют токенов CSRF, а анонимные запросы могут быть отправлены без токенов CSRF.

Если вы используете API стиля AJAX с SessionAuthentication, вам нужно включить действительный токен CSRF для любых "небезопасных" вызовов HTTP-методов, таких как PUT, PATCH, POST or DELETE запросы.

Что делать?

Теперь, чтобы отключить проверку csrf, вы можете создать собственный класс проверки подлинности CsrfExemptSessionAuthentication, который простирается от класса SessionAuthentication по умолчанию. В этом классе аутентификации мы переопределим проверку enforce_csrf(), которая происходила внутри фактического SessionAuthentication.

from rest_framework.authentication import SessionAuthentication, BasicAuthentication 

class CsrfExemptSessionAuthentication(SessionAuthentication):

    def enforce_csrf(self, request):
        return  # To not perform the csrf check previously happening

По вашему мнению, вы можете определить authentication_classes как:

authentication_classes = (CsrfExemptSessionAuthentication, BasicAuthentication)

Это должно обрабатывать ошибку csrf.

Спасибо, отличный ответ. Должен быть встроенный способ сделать это с помощью restframework, но в настоящее время это лучшее решение, которое я нашел.
Спасибо, это сработало! с Джанго 1,9
Извините, может быть, я упустил момент, но разве не угроза безопасности обойти / отключить защиту csrf?
@Paolo OP необходимо было отключить аутентификацию CSRF для конкретного API. Но да, это угроза безопасности, чтобы отключить защиту csrf. Если нужно отключить аутентификацию сеанса для конкретного случая использования, он может использовать это решение.
Привет @RahulGupta - Нет ли способа проверить наличие декоратора csrf_exempt в представлении, а затем только отключить принудительное_действие_csrf для этих представлений?
@Abhishek Может быть , вы ищете ниже анс по bixente57. Это отключает csrf для пользовательских представлений.
это перестало работать в Джанго 2
@jsmedmar отлично работает для меня в Django 2.1