Django CSRF 问题答案

【问题标题】：Django CSRF IssuesDjango CSRF 问题
【发布时间】：2015-08-08 02:20:34
【问题描述】：

我正在尝试制作一个简单的登录框架以供以后在我的站点中使用，目前它非常基本，但我一直被 Django CSRF 保护所阻碍

我已采取的步骤：

MIDDLEWARE_CLASSES = (
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
)

启用 CSRFViewMiddleware

def request_page(request):
if(request.POST.get('btnLogin')):

    if(handleLogin( (request.POST.get('TFUsername')), (request.POST.get('TFPassword')))):
        return HttpResponse("yep")
    else:
        return HttpResponse("nope")

在login handler.py中调用这个方法

def handleLogin(enteredUsername, enteredPassword):
EvalDBLogin.objects
b = EvalDBLogin(username = enteredUsername,password = enteredPassword)
if b.exists():
    return True
else:
    return False

视图函数确实将请求传递给模板的渲染方法，如上所示

每个表单元素都包含 {% csrf_token %}

 <td width="252">&nbsp;</td>
    <td width="272"><table width="258" height="115" border="0" align="center">
      <tr>
        <td width="248" height="27"><form id="form1" name="form1" method="post" action="#">{% csrf_token %}
          <label for="TFUsername"></label>
          <input name="TFUsername" type="text" class="loginBoxes" id="TFUsername" value="username" size="100" maxlength="42" border="5" width="200px"/>
       </td>
      </tr>
      <tr>
        <td height="26"><input name="TFPassword" type="password" class="loginBoxes" id="TFPassword" value="password" size="42" maxlength="42" /></td>
      </tr>
      <tr>
        <td height="43">



          <input type="submit" name="btnLogin" id="btnLogin" value="Submit" />
        </form></td>
      </tr>
      </table></td>
    <td width="252">&nbsp;</td>
  </tr>
</table></td>

模板上下文处理器如下所示：

TEMPLATE_CONTEXT_PROCESSORS = (
"django.contrib.auth.context_processors.auth",
"django.core.context_processors.debug",
"django.core.context_processors.i18n",
"django.core.context_processors.media",
"django.core.context_processors.static",
"django.contrib.messages.context_processors.messages",
"LoginSystem",
 )

是我遗漏了什么，还是我的目的是技术问题？

问题显示：http://puu.sh/jsRQh/384a552b2e.png

我知道在 SO 上已经有一些关于此的问题，但我找不到完全回答我的问题的问题。

附带说明，如果我从 csrf 中免除以下方法，则会返回相同的错误

非常感谢您的帮助！

渲染的 HTML：

 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Login</title>
<style type="text/css">
    .loginBoxes {
    font-family: "Comic Sans MS", cursive;
    font-size: 14px;
    color: #AFAFAF;
    background-color: #F8F8F8;
    text-align: center;
    width: auto;
}
#TFUsername {
    border-radius: 15px 50px;
    padding: 20px; 
    width:  300px;
    height: 20px; 
} 
#TFPassword {
    border-radius: 15px 50px;
    padding: 20px; 
    width:  300px;
    height: 20px; 
} 
#btnLogin{
    border-radius: 25px;
    background: #0066FF;
    display: table-cell;
    width:  310px;
    display:table-cell;
    margin:auto;
    display:block;
    height: 31px; 
}
</style>
</head>

<body>
<table width="800" height="722" border="0" align="center">
  <tr>
  </tr>
  <tr>
    <td><table width="800" height="253" border="0" align="center">
      <tr>
        <td width="252">&nbsp;</td>
        <td width="272"><table width="258" height="115" border="0" align="center">
          <tr>
            <td width="248" height="27"><form id="form1" name="form1" method="post" action="#">
              <label for="TFUsername"></label>
              <input name="TFUsername" type="text" class="loginBoxes" id="TFUsername" value="username" size="100" maxlength="42" border="5" width="200px"/>
           </td>
          </tr>
          <tr>
            <td height="26"><input name="TFPassword" type="password" class="loginBoxes" id="TFPassword" value="password" size="42" maxlength="42" /></td>
          </tr>
          <tr>
            <td height="43">



              <input type="submit" name="btnLogin" id="btnLogin" value="Submit" />
            </form></td>
          </tr>
          </table></td>
        <td width="252">&nbsp;</td>
      </tr>
    </table></td>
  </tr>
  <tr>
    <td>&nbsp;</td>
  </tr>
</table>
</body>
</html>

模板渲染

def index(request):
template = loader.get_template('loginSystem/index.html')

return HttpResponse(template.render())

【问题讨论】：

由于某种原因，您似乎在该页面上有多个表单。您只需要一个表单来提交用户名和密码，并且该表单中只需一个csrf_token。
是的，对不起，我应该把它添加到问题中
@grantmcconnaughey 谢谢，我已经修改了上面的代码
您遇到的实际问题是什么？为什么在将TFUsername 和TFPassword 传递给handleLogin 之前将它们转换为整数？
403 错误失败原因：CSRF 令牌丢失或不正确。

标签： python django csrf

【解决方案1】：

您已经包含了两次 csrf 中间件。您可以第二次删除它。

'django.middleware.csrf.CsrfViewMiddleware',

您可以删除csrf_protect 装饰器，因为您使用的是中间件，所以默认情况下所有视图都将受到保护。

由于您使用的是RequestContext，因此您可以从模板上下文处理器中删除"django.core.context_processors.csrf"，因为它始终包含在内。

请求上下文应该是render_to_response 的第三个参数，而不是第二个：

return render_to_response('loginSystem/index1.html', {}, csrfContext)

但你最好使用render 快捷方式，这样你就根本不需要请求上下文了。

from django.shortcuts import render

return render(request, 'loginSystem/index1.html')

如果在进行这些更改后仍然无法正常工作，请更新上面的问题，并在帖子中包含渲染模板的外观。

【讨论】：

感谢您的回复，我已经按照您的建议进行了更正，并相应地更新了我的问题，现在有一个指向结果屏幕图像的链接，同样的错误仍然存在
我已经删除了页面的重新加载并放置在一个简单的 HTTP 响应中以帮助调试
感谢您更新问题。在提交表单之前，您还没有显示呈现的 html 是什么。之前
已发布渲染的 HTML :)
好的，渲染的 html 显示缺少 csrf 令牌。你是如何渲染那个模板的？您发布的request_page 视图似乎只涵盖了发布请求。