ajax – 如何在django中的preflighted CORS POST请求中处理CSRF

发布时间：2020-12-16 01:36:04 所属栏目：百科来源：网络整理

导读：我试图通过 AJAX从abc.com发出POST请求到xyz.com(这是一个Django应用程序)的URL. 我通过向xyz.com上的URL发出GET请求来获取CSRF令牌,但是当在preflighted请求中向xyz.com发出OPTIONS请求时,令牌会更改. 有没有办法在预检请求中获得OPTIONS请求的响应？注意

我试图通过 AJAX从abc.com发出POST请求到xyz.com(这是一个Django应用程序)的URL.
我通过向xyz.com上的URL发出GET请求来获取CSRF令牌,但是当在preflighted请求中向xyz.com发出OPTIONS请求时,令牌会更改.

有没有办法在预检请求中获得OPTIONS请求的响应？

注意：

我遵循以下来源的指示：

> https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest
> https://developer.mozilla.org/en/docs/HTTP/Access_control_CORS
> http://www.html5rocks.com/en/tutorials/cors/

Django CSRF保护将允许OPTIONS请求,因此第一阶段没有问题：

https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#how-it-works

如果我理解正确,那么您希望允许下一个请求(例如跨域POST).为了使其工作并超越Django的CSRF保护,请求必须发送CSRF令牌(在POST数据或AJAX的头文件中)和匹配的CSRF cookie.

现在,跨域限制使得abc.com无法为xyz.com设置或读取cookie,无论是来自javascript还是来自服务器端响应.因此,这种方法是不可能的.

相反,您必须将@csrf_exempt应用于视图.这将允许任何网站发布到它.因此,您需要为视图构建一些其他保护.当然,您可以自行检查保护的安全性.请记住,“Referer”和“Origin”标题可以很容易地用像curl这样基本的东西伪造.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!