запросы django и python - получение 403 на запрос по почте

Question

Я использую requests для входа на сайт Django для тестирования (и да, я знаю о Django TestClient, но мне нужен простой http здесь). Я могу войти в систему и, до тех пор, как я делаю , получите запросов, все в порядке.

Когда я пытаюсь использовать сообщение вместо этого, я получаю 403 от промежуточного программного обеспечения csrf. Я уже работал над этим, используя @crsf_exempt на моем представлении, но предпочел бы более долгосрочное решение.

Это мой код:

with requests.Session() as ses: 

    try: 

     data = { 
      'username': self.username, 
      'password': self.password, 
     } 

     ses.get(login_url) 
     try: 
      csrftoken = ses.cookies["csrftoken"] 
     except Exception, e: 
      raise 
     data.update(csrfmiddlewaretoken=csrftoken) 

     _login_response = ses.post(login_url, data=data) 

     logger.info("ses.cookies:%s" % (ses.cookies)) 

     assert 200 <= _login_response.status_code < 300, "_login_response.status_code:%s" % (_login_response.status_code) 

     response = ses.post(
      full_url, 
      data=data, 
      ) 

     return self._process_response(response) 

Войти работает отлично, и я могу видеть CSRF токен здесь.

INFO:tests.helper_fetch:ses.cookies:<RequestsCookieJar[<Cookie csrftoken=TmM97gnNHs4YCgQPzfNztrAWY3KcysAg for localhost.local/>, <Cookie sessionid=kj6wfmta 

Однако промежуточное ПО видит, что печенье пустует.

INFO:django.middleware.csrf:request.COOKIES:{} 

Я добавил код протоколирования к нему:

def process_view(self, request, callback, callback_args, callback_kwargs): 

    if getattr(request, 'csrf_processing_done', False): 
     return None 

    try: 
     csrf_token = _sanitize_token(
      request.COOKIES[settings.CSRF_COOKIE_NAME]) 
     # Use same token next time 
     request.META['CSRF_COOKIE'] = csrf_token 
    except KeyError: 
     # import pdb 
     # pdb.set_trace() 
     import logging 
     logger = logging.getLogger(__name__) 
     logger.info("request.COOKIES:%s" % (request.COOKIES)) 

я упускаю что-то с образом я называю session.post запрос в? Я попробовал добавить к нему cookie, не имело значения. Но я могу полностью понять, почему crsf-промежуточное программное обеспечение отключается. Я думал, что куки были частью сессии, так почему они не хватает во втором посте?

  response = ses.post(
       self.res.full_url, 
       data=data, 
       cookies=ses.cookies, 
       ) 

Это изменение, вдохновленный How to send cookies in a post request with the Python Requests library?, также не привело ни к чему передается в CSRF промежуточного слоя:

  response = ses.post(
       self.res.full_url, 
       data=data, 
       cookies=dict(csrftoken=csrftoken), 
       ) 

Answer 1

Для последующих запросов после входа в систему, попробуйте поставлять его в качестве заголовка X-CSRFToken вместо этого.

Следующие работал для меня:

with requests.Session() as sesssion: 
    response = session.get(login_url) 
    response.raise_for_status() # raises HTTPError if: 400 <= status_code < 600 

    csrf = session.cookies['csrftoken'] 
    data = { 
     'username': self.username, 
     'password': self.password, 
     'csrfmiddlewaretoken': csrf 
    } 


    response = session.post(login_url, data=data) 
    response.raise_for_status() 

    headers = {'X-CSRFToken': csrf, 'Referer': url} 
    response = session.post('another_url', data={}, headers=headers) 
    response.raise_for_status() 

    return response # At this point we probably made it 

Docs ссылка: https://docs.djangoproject.com/en/dev/ref/csrf/#csrf-ajax

Answer 2

Вы также можете попробовать использовать this decorator на ваш взгляд, вместо csrf_exempt. Я попытался воспроизвести вашу проблему, и это сработало для меня.

from django.views.decorators.csrf import ensure_csrf_cookie` 

@ensure_csrf_cookie 
def your_login_view(request): 
    # your view code