Django 1.8 表单错误后没有 CSRF 令牌

【问题标题】:No CSRF token after Django 1.8 form errorDjango 1.8 表单错误后没有 CSRF 令牌
【发布时间】:2015-12-23 01:56:33
【问题描述】:

我最近将我的网站升级到 Django 1.8,并在发布我的注册(用户注册)表单时收到“ImportError No module named lib”。具体来说,如果用户正在注册一个帐户并且他们的密码不匹配,我的form 将显示一个错误。如果他们然后输入匹配的密码,我会收到以下 Django 错误:

Request Method: POST
Request URL: http://localhost:8000/create_account/

Django Version: 1.8.4
Python Version: 2.7.5
Installed Applications:
['django.contrib.auth',
 'django.contrib.contenttypes',
 'django.contrib.sessions',
 'django.contrib.sites',
 'django.contrib.messages',
 'django.contrib.staticfiles',
 'django.contrib.admin',
 'account',
 'home',
 'members',
 'profile']
Installed Middleware:
('django.contrib.sessions.middleware.SessionMiddleware',
 'django.middleware.common.CommonMiddleware',
 'django.middleware.csrf.CsrfViewMiddleware',
 'django.contrib.auth.middleware.AuthenticationMiddleware',
 'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
 'django.contrib.messages.middleware.MessageMiddleware',
 'django.middleware.clickjacking.XFrameOptionsMiddleware',
 'django.middleware.security.SecurityMiddleware')

Traceback:
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/core/handlers/base.py" in get_response
  125.                     response = middleware_method(request, callback, callback_args, callback_kwargs)
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/middleware/csrf.py" in process_view
  189.                 return self._reject(request, REASON_BAD_TOKEN)
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/middleware/csrf.py" in _reject
  101.         return _get_failure_view()(request, reason=reason)
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/middleware/csrf.py" in _get_failure_view
  33.     return get_callable(settings.CSRF_FAILURE_VIEW)
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/utils/lru_cache.py" in wrapper
  101.                     result = user_function(*args, **kwds)
File "/Users/me/venv/scores/lib/python2.7/site-packages/django/core/urlresolvers.py" in get_callable
  112.             if submod and not module_has_submodule(import_module(parentmod), submod):
File "/System/Library/Frameworks/Python.framework/Versions/2.7/lib/python2.7/importlib/__init__.py" in import_module
  37.     __import__(name)

Exception Type: ImportError at /create_account/
Exception Value: No module named lib

从堆栈跟踪中可以看出,当使用匹配的密码发布表单时,响应被中间件视为无效,甚至在控制权返回到显示表单的 create_account 视图之前。我在urlresolvers.py模块中设置了断点,发现找不到的模块是“lib.local_csrf”。我应该补充一点,表单本身由登录(身份验证)表单和相关的注册(注册)表单组成,并且两种表单都包含 csrf_token 标签:

# home/templates/home.html
<form action="{% url 'sign-in' %}" method="post">
    {% csrf_token %}

    <!-- error fields appear here -->
    {% for field in sign_in_form.visible_fields %}
        {{ field.label_tag }}
        {{ field }}

    <input type="submit" value="Sign in">
    <a href="#">Forgot password?</a>
</form>

<form action="{% url 'create-account' %}" method="post">
    {% csrf_token %}

    <!-- error fields appear here -->
    {% for field in create_account_form.visible_fields %}
        {{ field.label_tag }}
        {{ field }}
    {% endfor %}

    {% for hidden in form.hidden_fields %}
        {{ hidden }}
    {% endfor %}

    <input type="submit" value="Sign up">
</form>

这里是 create_account 视图:

# account/views.py
def create_account(request, template):
    # Initialize the signin form on the same page.
    sign_in_form = SignInAuthenticationForm(request, label_suffix="")

    if request.method == "POST":
        create_account_form = CreateAccountForm(request.POST, label_suffix="")
        if create_account_form.is_valid():
            user = User.objects.create_user(
                username = create_account_form.cleaned_data['username'],
                password = create_account_form.cleaned_data['password1']
            )

            # Create a new account.
            account = Account(user=user)
            account.save()
            # Do other stuff and then redirect user to next form
    else:
        create_account_form = CreateAccountForm(label_suffix="")
    return render_to_response(template, locals())

最有趣的是,当我在django.middleware.csrf 的process_view 中设置断点时,当用户最初使用不匹配的密码提交表单时,csrf_token 和request_csrf_token 变量都包含相同的值。但是当他们输入匹配的密码并再次重新提交表单时,csrf_token 包含令牌值,但 request_csrf_token 为空。当用户重新提交表单时,request.POST['csrfmiddlewaretoken'] 不在 request.POST 字典中这一事实证实了这一点。我不明白为什么会这样。

此表单在 Django 1.6 中运行良好,但在 1.8(或可能 1.7)中停止运行。我查看了 1.7 和 1.8 发行说明,并没有看到 CSRF 功能有任何变化。我还阅读了与 CSRF 相关的模板文档,但没有看到任何新内容。对此错误进行在线搜索也没有发现任何问题。

我怀疑你们中的一些人会建议我使用 django-registration-redux 库。由于我的注册工作流程,我认为我不能使用它。您会看到,在用户在此表单上注册后,当他们输入用户个人资料时,他们首先会被重定向到一个页面,然后是他们可以上传照片的页面,然后是一个页面以查看和批准他们的个人资料和照片.之后,它们被转发到我的付款处理器。只有当我的付款处理方告诉我他们的付款方式已获批准时,他们才真正注册了有效帐户。

谢谢。

【问题讨论】:

    标签: django django-forms django-templates django-views


    【解决方案1】:

    实际错误No module named lib 似乎是因为Django 无法导入您在设置中指定的CSRF_FAILURE_VIEW。您可以尝试从您的设置中删除它,然后 Django 应该显示默认的 CSRF 失败页面而不是错误。我不知道为什么导入失败,因为您没有显示 CSRF_FAILURE_VIEW 或您的项目结构是什么。

    要修复 CSRF 错误,请尝试使用 render 快捷方式而不是 render_to_response。它使用请求上下文呈现模板,以便 csrf_token 标记起作用。

    # avoid locals() if possible!
return render(request, template, {...})

    【讨论】:

    • 感谢阿拉斯代尔。那解决了它。在我学习 Django 的时候,我看到很多博文中提到了这个“locals()”快捷方式,所以我采用了它。现在,不幸的是,它在我的代码中到处都是,所以我将不得不返回并将我所有的 render_to_response(..., locals(), ...) 更改为 render(request, template, context) 这需要知道正是我在每种观点中的背景。我可能会破坏很多东西,但它会给我一个很好的教训。
    猜你喜欢
    • 2011-12-11
    • 2021-04-01
    • 2016-06-22
    • 2018-04-10
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-05-08
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode