我使用graphene-django。创建一个应用程序,GraphiQL 可以很好地用于登录和其他功能。但是当我使用Insomnia 时,我得到了403 Forbidden 错误。
我试过了:
csrf_exempt;它工作正常,但我当然不会使用它。django-cors-headers;它不运作良好。我该如何解决这个403 错误?
【问题讨论】:
如果您想在 Graphene 中使用 CSRF 中间件,则需要在请求标头的 cookie 中设置 CSRF 令牌。
我没有使用 Insomnia 的经验,但我相信它可以让您自定义请求标头,就像 Apollo 链接一样。
【讨论】:
假设您有 http://127.0.0.1:8000/graphql/ 并使用 JWT。 按照这个截图,也许他们可以帮助你。
【讨论】:
【讨论】:
我不推荐 @yestema 的第二种方法来解决您面临的问题。
GET 方法查询您的 GraphQL 端点如果一个人想要实现这个变通方法并且还在为mutations 使用 Graphql,那么它看起来就像一个糟糕的设计。
作为标准,GET 请求不得更改服务器或数据库的状态,mutations 在大多数情况下用于更改其中一个或另一个的状态(可能仅数据库,因为您的应用程序应该是无状态的)。
请注意,您也可以使用query 方法来更改后端的状态,但是,这又违反了既定标准,如grapqhl documentation 中所述:
[...] 在 REST 中,任何请求最终都可能对服务器造成一些副作用,但按照惯例,建议不要使用 GET 请求来修改数据。 GraphQL 是类似的——从技术上讲,任何查询都可以实现来导致数据写入。但是,建立一个约定是很有用的,即任何导致写入的操作都应通过突变显式发送。
csrf_exempt 装饰器?为了给想知道摆脱默认 CSRF 检查有多糟糕的人提供提示,这是我的两分钱解释。
当浏览器自动发送身份验证参数时,服务会受到 CSRF 攻击,这是基于会话的默认 Django 身份验证系统的情况。
如果您仅将 Django 应用程序用作 API 后端,则您可能依赖于另一种身份验证机制,例如 DRF's TokenAuthentication 或某种 JWT implementation。
基本上,这些身份验证系统不会受到 CSRF 攻击,因为如果恶意网站想要代表您的用户访问您的服务器(这就是 CSRF 的全部内容),它将无法设置 @987654331 @ 你的服务器期望的 HTTP 标头来实际验证请求(前提是你将令牌安全地存储在一个只能由你的前端应用程序域访问的 cookie 中......)。
tl;dr
继续使用 POST 请求发送您的 GraphQL 查询,这是最佳做法。
如果您的 GraphQL 端点只能由经过身份验证的用户访问,并且您的身份验证系统不依赖 Django 的会话,则可以免除您的端点进行 CSRF 检查。
但是,如果您使用 Django 的默认身份验证系统——即存储在 cookie 中的sessionid,那么您必须强制执行csrf 验证。
此时,您唯一的机会是,如先前的答案所述,在您的 HTTP 请求中添加 X-CSRFToken 标头,并为其提供先前对服务器的请求自动设置的 csrftoken cookie 的值。
我最初在GitHub 上发布了这个答案,但我认为它在这里也很有用。
【讨论】:
您正在寻找的是csrf_exempt 在您的url(r'^graphql', csrf_exempt(GraphQLView.as_view(graphiql=True))),
您可以像这样导入它:from django.views.decorators.csrf import csrf_exempt。
GraphQL 端点不需要 csrf 令牌,因为它是一个 API。
默认情况下,生产环境中需要 CSRF 令牌,因为 django 不知道哪个 POST 请求是针对表单的,哪个不是。还 如果您想使用 GraphQL 端点,CSRF 可能会很有用 仅在您的网站上(因此拥有令牌是一项额外的安全措施 措施)。但是对于您而言,删除 CSRF 令牌是完全可以的 检查生产。
【讨论】: