django CSRF_TRUSTED_ORIGINS 未按预期工作

Question

我无法理解为什么来自第三方网站的帖子被拒绝，即使该网站已添加到 settings.py 中的CSRF_TRUSTED_ORIGINS 列表。在说明 csrf 检查失败的帖子后，我收到 403 错误。我认为将站点添加到 CSRF_TRUSTED_ORIGINS 应该使站点免于 csrf 检查。为了接收来自外部来源的发布请求，我还应该做些什么吗？我正在运行 django 3.2

CSRF_TRUSTED_ORIGINS = ['site.lv']

请求头：

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9,lv;q=0.8,ru;q=0.7
Cache-Control: no-cache
Connection: keep-alive
Content-Length: 899
Content-Type: application/x-www-form-urlencoded
Host: cvcentrs-staging.herokuapp.com
Origin: https://www.site.lv
Pragma: no-cache
Referer: https://www.site.lv/
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="96", "Microsoft Edge";v="96"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36 Edg/96.0.1054.62

Answer 1

这个假设是错误的：

我认为将网站添加到 CSRF_TRUSTED_ORIGINS 应该会使网站免于 csrf 检查。

将 URL 添加到 CSRF_TRUSTED_ORIGINS 只是您需要做的一件事，以允许来自外部域上的表单的 POST 请求。您还需要：

• 从外部页面进行 AJAX 调用以获取 csrf_token，并将令牌与您的 POST 请求一起发送。
• 设置 CORS（请参阅本文，例如：https://www.stackhawk.com/blog/django-cors-guide/）。

从 Django 4.0 开始，您必须在 CSRF_TRUSTED_ORIGINS 中包含该方案：

CSRF_TRUSTED_ORIGINS = ['https://site.lv', 'https://www.site.lv']

Answer 2

当我将 "example.com" 放入 "CSRF_TRUSTED_ORIGINS" 而不使用 "http://" 或 " 方案时https://":

CSRF_TRUSTED_ORIGINS = ['example.com']

我收到了这个错误：

ERRORS: ?: (4_0.E001) 从 Django 4.0 开始， CSRF_TRUSTED_ORIGINS 设置必须以方案开头（通常是 http:// 或 https://) 但找到了 example.com。有关详细信息，请参阅发行说明。

所以我把 "https://" 放到 "example.com" 然后我可以解决上面的错误：

CSRF_TRUSTED_ORIGINS = ['https://example.com']