我有一个应用程序需要使用一些 POST 数据从外部重定向到另一个 url。我有另一个应用程序的 CSRF 令牌值。如何在 Python 中使用 requests 库构造一个简单的 POST 请求?
csrf_token = "kjsbfckjsdnfcksdnkl"
post_data = {'email': email, 'answer': answer}
response = request.post(URL, data=post_data)
在哪里添加 CSRF 令牌?
【问题讨论】:
标签: python django csrf-protection
另一种解决方法是使用csrf_exempt 装饰器。
https://docs.djangoproject.com/en/3.2/ref/csrf/#django.views.decorators.csrf.csrf_exempt.
【讨论】:
我建议你使用请求库的会话对象。
此外,如果您向同一主机发出多个请求,则会重用底层 TCP 连接,这会导致性能显着提高,并且 Session 对象具有主请求 API 的所有方法。
【讨论】:
您可以将 CSRF 令牌作为 POST 参数 或 HTTP 标头 发送。
编辑: Django 的 CSRF 保护还需要一个 Referer HTTP 标头。它需要与请求具有相同的来源。
使用 POST 参数:
post_data = {'email': email, 'answer': answer, 'csrftoken': crsf_token_value}
headers = {'Referer': URL}
response = request.post(URL, data=post_data, headers=headers)
使用 HTTP 标头:
post_data = {'email': email, 'answer': answer}
headers = {'X-CSRFToken': csrf_token_value, 'Referer': URL}
response = request.post(URL, data=post_data, headers=headers)
【讨论】:
Referer HTTP 标头。我将编辑我的答案以添加它。
查看官方文档,which covers sending a POST request with a CSRF token。
CSRF 令牌存储在 cookie 中(据我所知)。既然如此,您可以将 cookie 值存储为某个变量,然后在您的请求中使用该值。
【讨论】:
如果您使用带有 CsrfMiddleware 的最新 Django,请将其添加到 post_data 字典中:
post_data = {'email': email, 'answer': answer, 'csrfmiddlewaretoken': 'yourtoken'}
如果变量名正确,请检查表单。
如果你想在同一服务器上重定向,只需调用其他视图函数。
【讨论】: