我对这里的许多作品(Django/Ajax等)都陌生,所以虽然我理解高级CSFR图片,但我没有完整的细节处理。Django中间件用HTTPS POST使用ajax抛出403错误
由于传递的数据量较大,我需要将GET请求转换为PUT。高级别,我正在通过HTTPS对django应用程序进行AJAX POST API调用。该呼叫是从页面所在的同一个域进行的。
但是,我不断收到'CSRF cookie未设置'的错误。
我使用Django 1.4
为了突破CSRF保护,我已经包含了X-CSFRToken视为页眉其他职位提到这里包括{{csrf_token}}在发布数据标签。但是,它看起来不像标签被替换为标记。 X-CSFRToken值在请求中作为NULL发送。不知道为什么它没有设置。
我的印象是,我不需要在页面视图中使用ensure_csrf_cookie(),因为我在ajaxSetup中的POST之前获取了cookie,但我也尝试了这一点。
想法我做错了什么?
相关代码:
siteUrl = "https://localhost:8443/"
$.ajaxSetup({
beforeSend: function(xhr, settings) {
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
if (new RegExp("^"+siteUrl.replace("\\","\\\\")+".*").test(settings.url)) {
// Only send the token to URLs from our site.
xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
}
}
});
$.ajax({
url: submitUrl,
data: {'network_ids': JSON.stringify(network_ids),
'csrfmiddlewaretoken': '{{ csrf_token }}'},
type: 'POST',
crossDomain: true,
dataType: 'json',
cotentType: 'application/json',
success: function(mydata) {
console.log(mydata);
},
error: function(jqXHR, textStatus, errorThrown) {alert(textStatus); alert(errorThrown)}
})