【发布时间】:2014-11-15 06:22:32
【问题描述】:
我的网站在 Django 中有一个联系表单,当我在本地对其进行测试时,它工作正常,但现在当我尝试“实时”提交我的联系表单时,它总是出现 403 Forbidden CSRF verification failed。
查看:
def contact(request):
if request.method == 'POST':
form = ContactForm(request.POST)
if form.is_valid():
cd = form.cleaned_data
send_mail(
cd['subject'],
cd['message'],
cd.get('email', 'noreply@example.org'),
['example@gmail.com'],
)
return HttpResponseRedirect('/thanks/')
else:
form = ContactForm()
return render(request, 'contact/contact.html', {'form': form})
contact.html
{% extends 'site_base.html' %}
{% block head_title %}Contact{% endblock %}
{% block body %}
<h2>Contact Us</h2>
<p>To send us a message, fill out the below form.</p>
{% if form.errors %}
<p style="color: red;">
Please correct the error{{ form.errors|pluralize }} below.
</p>
{% endif %}
<form action="" method="POST">
{% csrf_token %}
<table>
{{ form.as_table }}
</table>
<br />
<button type="submit" value="Submit" class="btn btn-primary">Submit</button>
</form>
{% endblock %}
设置(我认为相关的设置):
SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True
SESSION_EXPIRE_AT_BROWSER_CLOSE = True
MIDDLEWARE_CLASSES = [
"django.middleware.csrf.CsrfViewMiddleware",
"django.middleware.common.CommonMiddleware",
"django.contrib.sessions.middleware.SessionMiddleware",
"django.contrib.auth.middleware.AuthenticationMiddleware",
"django.contrib.messages.middleware.MessageMiddleware",
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
在尝试排除一些事情之后,这就是我发现的。当我注释掉 SESSION_COOKIE_SECURE = TRUE 和 CSRF_COOKIE_SECURE = TRUE 和 SESSION_EXPIRE_AT_BROWSER_CLOSE = TRUE 时,它没有问题。
如果我只是注释掉 CSRF_COOKIE_SECURE = TRUE 它工作正常。我处理 CSRF 的方式似乎发生了一些奇怪的事情......任何帮助都会很棒。
【问题讨论】:
-
您是否通过
https为您的网站提供服务? 整个网站是这样的,还是只是表单提交?如果浏览器最初通过http发送cookie,我认为它不会在通过https提交表单时返回它。
标签: python django csrf django-csrf