ajax – 如何在django中的preflighted CORS POST请求中处理CSRF?

前端之家收集整理的这篇文章主要介绍了ajax – 如何在django中的preflighted CORS POST请求中处理CSRF?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我试图通过 AJAX从abc.com发出POST请求到xyz.com(这是一个Django应用程序)的URL.
我通过向xyz.com上的URL发出GET请求来获取CSRF令牌,但是当在preflighted请求中向xyz.com发出OPTIONS请求时,令牌会更改.

有没有办法在预检请求中获得OPTIONS请求的响应?

注意:

我遵循以下来源的指示:

> https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest
> https://developer.mozilla.org/en/docs/HTTP/Access_control_CORS
> http://www.html5rocks.com/en/tutorials/cors/

Django CSRF保护将允许OPTIONS请求,因此第一阶段没有问题:

https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#how-it-works

如果我理解正确,那么您希望允许下一个请求(例如跨域POST).为了使其工作并超越Django的CSRF保护,请求必须发送CSRF令牌(在POST数据或AJAX的头文件中)和匹配的CSRF cookie.

现在,跨域限制使得abc.com无法为xyz.com设置或读取cookie,无论是来自javascript还是来自服务器端响应.因此,这种方法是不可能的.

相反,您必须将@csrf_exempt应用于视图.这将允许任何网站发布到它.因此,您需要为视图构建一些其他保护.当然,您可以自行检查保护的安全性.请记住,“Referer”和“Origin”标题可以很容易地用像curl这样基本的东西伪造.

原文链接:https://www.f2er.com/ajax/159914.html

猜你在找的Ajax相关文章