有几十个问题与我提出的问题基本相同。但是,他们的答案似乎都不适合我。
我有一个React前端,我使用axios向后端发送请求。例
const request = await axios.post('${BASE_URL}/logout/')
大多数Django Rest Framework端点都是使用ViewSets构建的。但是,我有一些是自定义的,主要用于身份验证。
path('createaccount/', views.create_account),
path('me/', views.current_user),
path('logout/', views.logout),
path('login/', views.login),
path('resetpassword', views.reset_password),
为了开发这个项目,我把@csrf_exempt包含在这些视图之上,因为我当时不想处理它。现在我即将部署,是时候搞清楚了。
一些答案说我需要从Django获得一个存储在cookie中的CSRF令牌,我需要在每个请求的标题中传递它。一些答案说我需要做的就是配置axios
axios.defaults.xsrfHeaderName = "X-CSRFTOKEN";
axios.defaults.xsrfCookieName = "XCSRF-TOKEN";
它将“正常工作”。我已经尝试将我的CSRF_COOKIE_NAME调整为各种值以使其工作。
一些答案甚至说保持@csrf_exempt,但这听起来像一个非常非常糟糕的主意。
我是否真的需要生成/获取CSRF cookie?我是否将其包含在每个请求中?或者它只是axios的配置?
我有一次这个问题,我正在使用令牌认证。这就是我解决它的方式。但不确定如果这是最好的主意。我只在此视图中使用了csrf_exempt,而其他所有视图都是视图集。
@csrf_exempt
def get_current_user(request, *args, **kwargs):
if request.method == 'GET':
user = request.user
serializer = UserDataSerializer(user)
return JsonResponse(serializer.data, safe=False)
我在settings.py中的中间件
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'corsheaders.middleware.CorsMiddleware',
# 'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.middleware.locale.LocaleMiddleware',
'oauth2_provider.middleware.OAuth2TokenMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'auditlog.middleware.AuditlogMiddleware',
]