ajax – 如何在django中的preflighted CORS POST请求中处理CSRF
我试图通过
AJAX从abc.com发出POST请求到xyz.com(这是一个Django应用程序)的URL.
我通过向xyz.com上的URL发出GET请求来获取CSRF令牌,但是当在preflighted请求中向xyz.com发出OPTIONS请求时,令牌会更改. 有没有办法在预检请求中获得OPTIONS请求的响应? 注意: 我遵循以下来源的指示: > https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest
Django CSRF保护将允许OPTIONS请求,因此第一阶段没有问题:
https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#how-it-works 如果我理解正确,那么您希望允许下一个请求(例如跨域POST).为了使其工作并超越Django的CSRF保护,请求必须发送CSRF令牌(在POST数据或AJAX的头文件中)和匹配的CSRF cookie. 现在,跨域限制使得abc.com无法为xyz.com设置或读取cookie,无论是来自javascript还是来自服务器端响应.因此,这种方法是不可能的. 相反,您必须将@csrf_exempt应用于视图.这将允许任何网站发布到它.因此,您需要为视图构建一些其他保护.当然,您可以自行检查保护的安全性.请记住,“Referer”和“Origin”标题可以很容易地用像curl这样基本的东西伪造. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |