Как отключить проверку CSRF Django?

Question

Я закомментирована CSRF процессора и промежуточного слоя линии в settings.py:

122 
123 TEMPLATE_CONTEXT_PROCESSORS = (
124  'django.contrib.auth.context_processors.auth', 
125 # 'django.core.context_processors.csrf', 
126  'django.core.context_processors.request', 
127  'django.core.context_processors.static', 
128  'cyathea.processors.static', 
129) 
130 
131 MIDDLEWARE_CLASSES = (
132  'django.middleware.common.CommonMiddleware', 
133  'django.contrib.sessions.middleware.SessionMiddleware', 
134 # 'django.middleware.csrf.CsrfViewMiddleware', 
135  'django.contrib.auth.middleware.AuthenticationMiddleware', 
136  'django.contrib.messages.middleware.MessageMiddleware', 
137  'django.middleware.locale.LocaleMiddleware', 
138  # Uncomment the next line for simple clickjacking protection: 
139  # 'django.middleware.clickjacking.XFrameOptionsMiddleware', 
140) 

Но когда я использую Ajax для отправки запроса, Django по-прежнему отвечать «CSRF токен неверна или отсутствует», и после добавления X-CSRFToken в заголовки, запрос будет успешным.

Что здесь происходит?

Answer 1

Если вам просто нужно некоторые точки зрения не использовать CSRF, вы можете использовать @csrf_exempt:

from django.views.decorators.csrf import csrf_exempt 

@csrf_exempt 
def my_view(request): 
    return HttpResponse('Hello world') 

Вы можете найти больше примеров и других сценариев здесь:

• https://docs.djangoproject.com/en/1.9/ref/csrf/#edge-cases

Answer 2

CSRF может применяться на уровне представления, который не может быть отключен глобально.

В некоторых случаях это боль, но ум, «это для безопасности». Должны сохранить эти рейтинги AAA.

https://docs.djangoproject.com/en/dev/ref/csrf/#contrib-and-reusable-apps

Answer 3

Ответ может быть неуместным, но я надеюсь, что это помогает вам

class DisableCSRFOnDebug(object): 
    def process_request(self, request): 
     if settings.DEBUG: 
      setattr(request, '_dont_enforce_csrf_checks', True) 

Имея промежуточное программное обеспечение, как это помогает для отладки запросов и проверить CSRF на производственных серверах.

Answer 4

Чтобы отключить CSRF для просмотра на основе классов, для меня это работало.
Использование Джанго 1.10 и питон 3.5.2

from django.views.decorators.csrf import csrf_exempt 
from django.utils.decorators import method_decorator 

@method_decorator(csrf_exempt, name='dispatch') 
class TestView(View): 
    def post(self, request, *args, **kwargs): 
     return HttpResponse('Hello world') 

Answer 5

В setting.py в MiddleWare вы можете просто удалить эту строку, 'django.middleware.csrf.CsrfViewMiddleware',

Answer 6

Если вы хотите отключить его в Global, вы можете написать собственный Middleware, как это

from django.utils.deprecation import MiddlewareMixin 

class DisableCsrfCheck(MiddlewareMixin): 

    def process_request(self, req): 
     attr = '_dont_enforce_csrf_checks' 
     if not getattr(req, attr, False): 
      setattr(req, attr, True) 

затем добавить этот класс youappname.middlewarefilename.DisableCsrfCheck в MIDDLEWARE_CLASSES списки, перед тем django.middleware.csrf.CsrfViewMiddleware

Answer 7

Вы можете отключить CSRF, чтобы сделать свой собственный промежуточное программное обеспечение:

Сделать один Джанго приложение с именем «ядра», и сделать один файл «utils.py» на этом приложении и помещается ниже код на этот файл:

class DisableCSRF(object): 
    def process_request(self, request): 
     setattr(request, '_dont_enforce_csrf_checks', True) 

Включите это промежуточное программное обеспечение в файл settings.py в MIDDLEWARE_CLASSES.

'ядро.более

Один из способов Utils':

вы можете использовать @csrf_exempt декоратора

from django.views.decorators.csrf import csrf_exempt 
@csrf_exempt 

Answer 8

Проблема здесь состоит в том, что SessionAuthentication выполняет свою собственную проверку CSRF. Вот почему вы получаете пропущенную CSRF ошибку, даже когда прокомментировано промежуточное ПО CSRF. Вы можете добавить @csrf_exempt на каждый вид, но если вы хотите, чтобы отключить CSRF и проверка подлинности сеанса для всего приложения, вы можете добавить дополнительное промежуточное программное обеспечение, как это -

class DisableCSRFMiddleware(object): 

def __init__(self, get_response): 
    self.get_response = get_response 

def __call__(self, request): 
    setattr(request, '_dont_enforce_csrf_checks', True) 
    response = self.get_response(request) 
    return response 

Я создал этот класс в MyApp/средний .py Затем импортировать промежуточное программное обеспечение в Middleware в settings.py

MIDDLEWARE = [ 
    'django.middleware.common.CommonMiddleware', 
    'django.middleware.security.SecurityMiddleware', 
    'django.contrib.sessions.middleware.SessionMiddleware', 
    'django.middleware.common.CommonMiddleware', 
    #'django.middleware.csrf.CsrfViewMiddleware', 
    'myapp.middle.DisableCSRFMiddleware', 
    'django.contrib.auth.middleware.AuthenticationMiddleware', 
    'django.contrib.messages.middleware.MessageMiddleware', 
    'django.middleware.clickjacking.XFrameOptionsMiddleware', 

] 

это работает с ФПИ на Джанго 1.11

Answer 9

Для Django 2:

from django.utils.deprecation import MiddlewareMixin 


class DisableCSRF(MiddlewareMixin): 
    def process_request(self, request): 
     setattr(request, '_dont_enforce_csrf_checks', True) 

Это промежуточное ПО должно быть добавлено к settings.MIDDLEWARE при необходимости (в настройках тестирования, например).

Примечание: настройка больше не называется MIDDLEWARE_CLASSES.