Django/JQuery CSRF: 403 错误

Question

我不断收到来自 Django 的 403 错误。

我设置了我的 settings.py 以使用 CSRF 保护，并在我的模板中使用了 csrf_token 令牌。

这是我在 HTML 标头之后包含的 JS 文件：http://bpaste.net/show/87791/

使用 Firebug 我可以检查 CSRF cookie 是否存在。稍后在页面上，用户单击触发此代码的按钮：

myFunction: function() {
  $.ajax({
  type: 'POST',
  url: window.localtion.href + 'myajaxview',
  async: false
  });
}

我正在使用从 TemplateView 继承的基于类的简单视图来显示此页面。 'myajaxview' 继承自 View 和 JSON Mixin。但是它的代码永远不会执行，因为 django 无法验证 CSRF 令牌。

在我看来，ajax 并没有按照应有的方式发送带有 POST 标头的令牌。还是我错过了什么？

编辑：我在调用 $.ajax() POST 函数之前移动了 $.ajaxSetup 调用，它起作用了。我试图将它移到其他地方，但失败了。我认为这个问题与 Ajax 的关系比与 Django 的关系更大。 所以，我的问题仍然存在，我不想把 $.ajaxSetup 调用放在每个 $.ajax 调用之前，我不认为这是事情的处理方式，我不想重复自己。所以这只是一种解决方法，我正在寻求解决方案。

Answer 1

我通过在 DOM 准备好并重新加载 AJAX 时计算令牌的值来解决问题。

javascript 代码使用 reload_ajax() 函数来处理令牌，以及在初始页面加载和后续 AJAX 调用时我需要刷新的任何其他内容。

<script type="text/javascript">

function reload_ajax() {
    // Useful on initial page load, and after calling AJAX.
    $("input#token").val("{{ csrf_token }}");
}

$(document).ready(function() {
    $("form#stats").unbind("submit");      // Prevents calling document-ready multiple times
    $("form#stats").submit(function(event) {
        event.preventDefault();
        $.ajax({
            type:"POST",
            url: $(this).attr("action"),
            data: $(this).serialize(),     // Serialize the form
            dataType: "json",
            success: function(response){
                $("#stats_ajax").html(response.html);  // Object to refresh after AJAX 
                reload_ajax();
            }
        });
        return false;
    });

    reload_ajax();
});
</script>

我正在使用两个 HTML 文件， 在 main.html 中，我有上面的 javascript 代码，以及以下内容：

<div id="stats_ajax">
    {% include "stats_ajax.html" %}
</div>

在 stats_ajax.html 中，我有实际的表单（加上我需要刷新的其他内容）

<form id="stats" action="/main/" method="post">
    <!-- The value will be inserted when the DOM reloads. -->
    <input id="token" type="hidden" name="csrfmiddlewaretoken" value="" />
    <!-- Other input elements -->
    <button type="submit">Submit</button>
</form>

在我的views.py文件中，

# Not all imports may be needed for this example
from django.http import HttpResponse
from django.shortcuts import render, redirect
from django.template.loader import render_to_string
import json

def main(request):
    # This request should only be posting AJAX
    if request.is_ajax():
        data = {}
        data["message"] = "Awesome"
        # This is the template to load on the DOM object to update
        html = render_to_string("stats_ajax.html", data)
        res = {"html": html}
        return HttpResponse(json.dumps(res), mimetype='application/json')

    # Handle GET to this view
    return redirect("/main")

最后，我的 urls.py 有了

# Replace "application_name" with your own value
url(r'^main', 'application_name.views.main'),

Answer 2

感谢您的帮助。答案真的很讨厌，我从一个简单的例子开始测试 ajaxSetup + ajax 就发现了，然后我添加了更多的复杂性来匹配我的原始代码。

这是因为 jquery-tools。当我开始使用 bootstrap-twitter 时，我看到他们建议将 javascript 包含在页面末尾。所以我把 jquery-tools.js 也包括在内。我几乎不知道在这个脚本文件中对 $.ajaxSetup 的调用覆盖了我自己的。

解决方案是将 jquery 工具包含在顶层。但是在这一点上，我不确定它会与我的代码有多少冲突。因为我需要为每个 ajax 请求设置 ajaxSetup。

我花了一天的时间才发现，我在 #jquery 和 #django 上，很多人不遗余力地试图找出解决方案。如果您遇到无法共享的复杂代码库以及想要解决的问题，我的建议是：尝试使最简单的示例正常工作并更改它，直到它与您失败的设置相匹配。这将节省每个人的时间，尤其是您自己的时间。

Answer 3

myFunction: function() {
  $.ajax({
  type: 'POST',
  data: { 
    'csrfmiddlewaretoken': '{{csrf_token}}'
  }, 
  url: '/myajaxview/',
  async: false
  });
}

Answer 4

这是我认为您正在寻找的代码的 sn-p

var csrfToken = $('input[name="csrfmiddlewaretoken"]').val();
$.ajax({
    url: 'blah.com/',
    //snipped for brevity
    csrfmiddlewaretoken: csrfToken,
    success: function(data){ doStuff(); }
});

这是我为了能够对 django 应用程序进行 jquery ajax 调用而使用的。 希望它有效！

Answer 5

首先，您是否检查了 CSRF 代码是否实际发送到服务器？如果是，服务器是否希望散列在 post 值或 header 中？现在您设置请求标头。 如果两者都不能解决问题，请验证服务器是否知道正确的哈希。当客户端发送正确的哈希并且服务器将 NULL 作为哈希时，验证当然会失败。