我有一个带有使用 CSRF 保护的表单的 Django 视图。当有正常的 GET 请求时,我希望 Varnish 缓存此视图(因为所有用户都需要相同的表单,无需登录)。
所以有两个挑战:
如何在 Varnish 中缓存此页面,而不向用户提供缓存/旧版本的 csrf 隐藏字段?是否可以缓存带有 CSRF 字段的页面?
默认情况下,我的 Varnish 会去除所有 cookie,我怎样才能轻松地让它去除除 csrftoken cookie 之外的所有 cookie?我是否必须设置特定的 CSRF_COOKIE_DOMAIN?
【问题讨论】:
这已经晚了几年,但这是我最近解决这个问题的方法。
诀窍是使用 varnish 支持的ESI。我们获取 CSRF sn-p 并将其粘贴到自己的页面中,通过 varnish 时通过 ESI 将其包含在内,否则直接(例如在运行本地开发服务器时)。
{% csrf_token %}
{% if request.META.HTTP_X_VARNISH_USE_CACHE %}
<esi:include src="{% url 'esi_csrf_token' %}" />
{% else %}
{% include "csrf_esi.html" %}
{% endif %}
from django.conf.urls import url
from django.views.generic import TemplateView
urlpatterns = [
...
url(r'csrf_esi.html', TemplateView.as_view(template_name="csrf_esi.html"), name='esi_csrf_token'),
]
from django import template
register = template.Library()
@register.inclusion_tag('csrf_token.html', takes_context=True)
def csrf_token_esi(context):
return context
TEMPLATES = [
{
...
'OPTIONS': {
...
'builtins': [
'path.to.csrf_esi',
],
}
}
]
set req.http.X-Varnish-Use-Cache = true;
您还需要将csrf_esi.html 页面列入白名单,使其永远不会被缓存,并在vcl_fetch 函数中添加set beresp.do_esi = true;。我会详细说明这一点,但我没有设置系统的这一部分,我自己也不是 100% 清楚。
现在您可以像使用普通的{% csrf_token %} 标签一样简单地使用它:
<form action="">
{% csrf_token_esi %}
<button type="submit">Push me</button>
</form>
设置起来相当麻烦,但是一旦设置好,您就再也不用看它了。
【讨论】:
在视图上使用 CSRF 本质上意味着视图的每个渲染本质上是不同的(即使只有一个隐藏字段的值在变化)。在这种情况下缓存不起作用。
然而,正如您似乎已经猜到的那样,Django 确实提供了绕过这个限制的机制,即 cookie。所以在你的第二部分,有两件事需要做:
如果请求来自与处理它的域不同的域,您只需要在 Django 中设置CSRF_COOKIE_DOMAIN。
【讨论】:
我在使用 @csrf_protect 和 AJX 时遇到了类似的问题,如果有人在使用这个装饰器,这可能会有所帮助
以及向 Varnish 添加例外。确保带有表单的视图和正在发布数据的视图都使用装饰器。
我在帖子视图上只有@csrf_protect,它在本地测试良好,但是当我上线时遇到 403 验证失败问题,将装饰器添加到页面视图修复了这个问题
【讨论】: