我将 Django 从 1.8 升级到 1.9。之后,我在 Django 管理员登录后在本地主机上收到此错误:
Referer checking failed - Referer is insecure while host is secure.
在生产中一切正常。 下面是我的 settings.py 文件的 sn-p:
SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')
SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True
【问题讨论】:
http。所以应用程序必须配置为在您的local.py(或类似)中使用http。
标签: django django-csrf django-1.9
当我从 ssl setup 切换到 no ssl 并忘记从 nginx 配置中的上游配置中删除最后一行时出现此错误:
location / {
proxy_pass http://127.0.0.1:8085;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header Host $host; #:8080;
#proxy_set_header X-FORWARDED-PROTO https;
}
【讨论】:
settings.py 文件中的这些行在生产环境中没有问题,因为您使用的是附加到您的域的 SSL 证书。但是,在本地,您可能正在使用 http://localhost:8000 或类似的东西。如果您尝试通过https://localhost:{{YOUR_PORT_NUMBER}} 连接,您很可能会收到类似ERR_SSL_PROTOCOL_ERROR 的错误。
问题在django/django/middleware/csrf.py 的第 167-168 行。当您在生产中使用 https 时,request.is_secure() 将返回 True...这要求 HTTP_REFERER 也为真,否则您将收到您引用的错误。
一个解决方案是adjust your settings.py file depending on whether you're in your local or production environment。这样,您可以将这三行添加到 settings_production.py 文件中,该文件导入 localhost 和生产服务器共有的其他设置。您的 localhost 将使用一组不包括这些行的不同设置。
【讨论】:
if not ENVIRONMENT == 'localhost'。这意味着我在问题中指定的那些行仅在生产中执行。那么我必须在设置中添加什么来防止出现此错误?
localhost 上运行?那会发生什么错误?问题是您的HTTP_REFERER 元标记未在localhost 上使用https。见django/django/middleware/csrf.py的第167-168行
settings.py 中引用 https 的任何内容...所以我只是在寻找强制 https 在本地使用的设置。
django-cors-headers 导致了这个问题。我不得不通过添加CORS_REPLACE_HTTPS_REFERER = True 来避免这种情况。问题就解决了。 :) 无论如何谢谢。