AJAX-вызов возвращает CSRF Failed

Question

AJAX-вызов возвращает CSRF Failed

-1

Я делаю вызов ajax в Typcript, который вызывает внутренний Web-сервис. Все конечные точки с "GET" работают, но "POST" говорит:

"403 Запрещено" - "подробнее: CSRF Ошибка: CSRF cookie не установлен"

Что я пытался решить проблему:

Далее следуют https://docs.djangoproject.com/ko/1.11/ref/csrf/

Попробовал удалить 'django.middleware.csrf.CsrfViewMiddleware'

Попробовал @csrf_exempt

Ничто из этого не сработало, каждый раз по-прежнему происходит одна и та же ошибка.

Вот мой код в Typcript:

sendMessage(message, receiverId){
    let self = this;
    var message_obj = "{\"id\":\""+ GUID.generateGUID() +"\",\"message\":\""+ message +"\",\"receiverId\":\""+ receiverId + "\",\"moddate\":\""+ Date.now() +"\"}";
    var message_json = JSON.parse(message_obj);
    $.ajax({
        type: "POST",
        url: "/chat/message/",
        data:{"message_object":message_json},
        credentials: 'same-origin',
        success: function (response) {
            alert(response);
        },
        error: function (jqXHR, textStatus, errorThrown) {
            alert(errorThrown);
        }
    })
}

Это пример рабочего вызова ajax:

getMessages(){
    let self = this;
    $.ajax({
        type: "GET",
        url: "/chat/message/",
        dataType: "json",
        success: function (response) {
            response = JSON.stringify(response);
            alert(response);
        },
        error: function(jqXHR, textStatus, errorThrown){
            alert(errorThrown);
        }
    })
}

РЕДАКТИРОВАТЬ:

Здесь я попытался использовать csrf_exempt:

URLS.PY

from django.conf.urls import url
from django.views.decorators.csrf import csrf_exempt

from chat_api import views

urlpatterns = [
    url(r'^message/$', csrf_exempt(views.ChatMessageAPIEndpoint.as_view())),
    url(r'^message/(?P<commit>([0-9a-fA-F])+)', csrf_exempt(views.ChatMessageAPIEndpoint.as_view())),
    url(r'^devicekey/(?P<devid>([\w+-:])+)', views.DeviceAPIEndpoint.as_view()),
    url(r'^devicekey/$', views.DeviceAPIEndpoint.as_view()),
    url(r'^contacts/$', views.ContactAPIEndpoint.as_view()),
    url(r'^read/$', views.ReadStatusEndpoint.as_view()),
]

VIEWS.PY

    @csrf_exempt
    @need_post_parameters([PARAM_MESSAGE_OBJ])
    def post(self, request, *args, **kwargs):
        data = request.POST.get(PARAM_MESSAGE_OBJ)

        try:
            message_obj = json.loads(data)
        except Exception as e:
            return HttpResponseBadRequest(error_json("Could not parse JSON"))
...

Tim 30 авг. 2017, в 10:49

Источник

0

Покажите, как вы пытались использовать @csrf_exempt . минимальный воспроизводимый пример
Håken Lid 30 авг. 2017, в 08:07
0

В документации django есть пример того, как включить токен CSRF в запросы ajax с помощью jQuery.ajax() . Вы должны включить заголовок X-CSRFToken . docs.djangoproject.com/en/1.11/ref/csrf/#ajax
Håken Lid 30 авг. 2017, в 08:09
0

@ HåkenLid Я попытался: csrf_exempt (views.ChatMessageAPIEndpoint.as_view ()), и я попытался установить его как аннотацию перед методами Endpoint
Tim 30 авг. 2017, в 08:22
0

Также я попробовал пример Django Docs, но он также работает! Я отладил пример документации Django, но со стороны: «if (document.cookie && document.cookie! == '') {" он выходит и возвращает ноль!
Tim 30 авг. 2017, в 08:24
0

Включите в вопрос фактический код, где вы сделали csrf_exempt(views.ChatMessageAPIEndpoint.as_view()) docs.djangoproject.com/en/1.11/topics/class-based-views/intro/…
Håken Lid 30 авг. 2017, в 08:29
0

Ваш клиентский код должен извлечь токен из cookie и включить токен в каждый запрос ajax . Заголовок должен выглядеть примерно так: X-CSRFToken: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql
Håken Lid 30 авг. 2017, в 08:37
0

@ HåkenLid Я получил только сессионный cookie. Как я уже сказал, это не работает в if (document.cookie && document.cookie !=="" . Если я печатаю document.cookie прямо в консоли браузера, он просто возвращает ""!
Tim 30 авг. 2017, в 08:41
0

Вот вопрос о том, как использовать csrf_exempt с представлениями на основе классов. stackoverflow.com/questions/27315592/...
Håken Lid 30 авг. 2017, в 08:45
0

Файл cookie может отсутствовать, потому что вы его где-то отключили. Вы можете использовать оформитель ensure_csrf_cookie в представлении, где вам нужен файл cookie. docs.djangoproject.com/en/1.8/ref/csrf/...
Håken Lid 30 авг. 2017, в 08:50
0

Вы должны выбрать, хотите ли вы защиту CSRF или нет. Отключение его в некоторых местах и включение его в другом месте приведет только к беспорядку. По умолчанию cookie csrf включен везде.
Håken Lid 30 авг. 2017, в 08:52
0

Я попробовал это, но это также не работает. Я попытался отладить скрипт Python, и похоже, что он даже не приходит туда. Может ли быть так, что ошибка выдается на стороне клиента? В Typescript и т. Д.?
Tim 30 авг. 2017, в 08:53
0

Я хочу включить это, но все, что я пытаюсь заставить это работать, терпит неудачу.
Tim 30 авг. 2017, в 08:55

Показать ещё 10 комментариев

Теги:

django

csrf

jquery

typescript

ajax

1 ответ

Ещё вопросы

Покажите, как вы пытались использовать @csrf_exempt . минимальный воспроизводимый пример
В документации django есть пример того, как включить токен CSRF в запросы ajax с помощью jQuery.ajax() . Вы должны включить заголовок X-CSRFToken . docs.djangoproject.com/en/1.11/ref/csrf/#ajax
@ HåkenLid Я попытался: csrf_exempt (views.ChatMessageAPIEndpoint.as_view ()), и я попытался установить его как аннотацию перед методами Endpoint
Также я попробовал пример Django Docs, но он также работает! Я отладил пример документации Django, но со стороны: «if (document.cookie && document.cookie! == '') {" он выходит и возвращает ноль!
Включите в вопрос фактический код, где вы сделали csrf_exempt(views.ChatMessageAPIEndpoint.as_view()) docs.djangoproject.com/en/1.11/topics/class-based-views/intro/…
Ваш клиентский код должен извлечь токен из cookie и включить токен в каждый запрос ajax . Заголовок должен выглядеть примерно так: X-CSRFToken: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql
@ HåkenLid Я получил только сессионный cookie. Как я уже сказал, это не работает в if (document.cookie && document.cookie !=="" . Если я печатаю document.cookie прямо в консоли браузера, он просто возвращает ""!
Вот вопрос о том, как использовать csrf_exempt с представлениями на основе классов. stackoverflow.com/questions/27315592/...
Файл cookie может отсутствовать, потому что вы его где-то отключили. Вы можете использовать оформитель ensure_csrf_cookie в представлении, где вам нужен файл cookie. docs.djangoproject.com/en/1.8/ref/csrf/...
Вы должны выбрать, хотите ли вы защиту CSRF или нет. Отключение его в некоторых местах и включение его в другом месте приведет только к беспорядку. По умолчанию cookie csrf включен везде.
Я попробовал это, но это также не работает. Я попытался отладить скрипт Python, и похоже, что он даже не приходит туда. Может ли быть так, что ошибка выдается на стороне клиента? В Typescript и т. Д.?
Я хочу включить это, но все, что я пытаюсь заставить это работать, терпит неудачу.

Tim · Accepted Answer · 2017-08-30T06-29-00.000Z

Я нашел ошибку, и я отправлю ее здесь для равных ошибок:

Мои классы в Views.py, где используется "Oauth2APIView" ! Изменение его в "Вид" решило проблему для меня!