【问题标题】:csrf varification not working if script is in static folder如果脚本位于静态文件夹中,则 csrf 验证不起作用
【发布时间】:2013-09-15 05:57:38
【问题描述】:

javascript:

   $('.delete').click(function() {  
          if (confirm("Are you sure to delete?")) {      
          var csrf_token = $("#csrf_token").val();    
          $.ajax({ // create an AJAX call...
            data:{
                csrfmiddlewaretoken: ('{{csrf_token}}'),
                delete:true
            },
            type:'POST',
            url: '/feed_list/', 
            cache:false,
            success: function() { 
                window.location.href = window.location;
            }
        });
        return false;
      }
    });

这是我的 java 脚本函数,用于调用 views.py 中执行删除函数的方法。删除函数工作正常,我的问题是现在这个 javascript 函数在我当前的 html 页面中。如果我将此函数移动到静态文件夹--> 脚本 --> custom.js 它抛出 403 错误页面。CSRF verification failed. Request aborted. 我正在以表单和 java 脚本的形式传递 csrf 令牌。我想解决这个问题。需要建议。

【问题讨论】:

    标签: javascript ajax django django-templates


    【解决方案1】:

    这是行不通的,因为 django 服务器不渲染 js 文件。 以下是解决此问题的方法:

    添加 jquery 插件: http://plugins.jquery.com/cookie/

    在你的 js 文件中使用它来获取 csrf 令牌:

    csrfmiddlewaretoken: $.cookie('csrftoken'),
    

    【讨论】:

    • 但是如果我将 js 移动到静态文件夹,其他页面中的脚本可以工作,问题在于两个页面。
    • @user2439275 可能那些其他脚本没有使用模板标签。
    • @DanielRoseman 这意味着答案是完美的解决方案,除此之外没有办法......!
    • @user2439275 我的解决方案有帮助吗?如果没有,请解释错误
    【解决方案2】:

    你已经定义了csrf_token,所以你需要在ajax请求中传递它:

    data:{
                csrfmiddlewaretoken: csrf_token,
                delete:true
            }
    

    但我不知道你的输入是什么样子的,我将 token 定义为

    token = $('input[name="csrfmiddlewaretoken"]').val()
    

    并在基本模板中传递{% csrf_token %}哪个html代码:

    <input type="hidden" name="csrfmiddlewaretoken" value="your_token">
    

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2017-10-04
      • 2018-06-20
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2015-02-13
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多