如何获取Django服务器的python POST请求的csrf标记

Question

没有csrf标记我得到一个403响应，所以它看起来像我需要它。目前我正在试图做到这一点：

import requests 
import sys 

URL = 'http://127.0.0.1:8000/toasterinfo' 

client = requests.session() 

# Retrieve the CSRF token first 
client.get(URL) # sets cookie 
csrftoken = client.cookies['csrf'] 
r = client.post(URL, data={'number': 12524, 
    'type': 'issue', 'action': 'show', "csrfmiddlewaretoken": csrftoken}, headers=dict(Referer=URL)) 
print(r) 

但我得到一个错误：

Traceback (most recent call last): 
    File "django_client.py", line 10, in <module> 
    csrftoken = client.cookies['csrftoken'] 
    File "/Library/Frameworks/Python.framework/Versions/2.7/lib/python2.7/site-packages/requests/cookies.py", line 327, in __getitem__ 
    return self._find_no_duplicates(name) 
    File "/Library/Frameworks/Python.framework/Versions/2.7/lib/python2.7/site-packages/requests/cookies.py", line 398, in _find_no_duplicates 
    raise KeyError('name=%r, domain=%r, path=%r' % (name, domain, path)) 
KeyError: "name='csrftoken', domain=None, path=None" 

我在做什么错？

Answer 1

CSRF令牌是客户端到服务器安全功能，以保护您的用户免受跨站请求伪造。

你正在做一个服务器到服务器的请求，所以CSRF是无用的。您应该考虑删除CSRF的要求，并使用适当的认证方法来处理服务器到服务器的请求。

您可以删除您的视图中使用以下装饰器的CSRF令牌验证。

@csrf_exempt

见https://docs.djangoproject.com/en/dev/_modules/django/views/decorators/csrf/#csrf_exempt

基于令牌认证方法与HTTPS Connexion公司可能会适合你的情况。

Answer 2

这不是最安全的方法，但是您可以添加一个装饰器到该视图以排除CSRF验证，并且您的POST不会失败。

from django.views.decorators.csrf import requires_csrf_token 

@requires_csrf_token 
def your_view(request): 
    # your code... 

此解决方案仅适用于您了解除去CSRF验证的风险。