JQuery + AJAX + Django = CSRF？

Question

可能重复：
"CSRF token missing or incorrect" while post parameter via AJAX in Django

我希望通过AJAX发送登录数据进行验证的用户，但它是因为CSRF的不可能的。你能告诉我要添加到我的代码，以使其令人兴奋吗？

我的JavaScript文件：

$("#login").live("click", function() { 
    var username = $(".login_username").val(); 
    var password = $(".login_password").val(); 

    $.ajax({ 
     url: "/login", 
     type: "POST", 
     data: { 
      username: username, 
      password: password 
     }, 
     cache: false, 
     success: function(tekst) { 
      alert(tekst); 
     } 
    }); 
}); 

Answer 1

有一个method explained here。

它包括在每个ajax请求上添加X-CSRFToken标头。

这是通过挂钩jQuery.ajaxSend事件完成的，因此所有事情都是自动完成的（您只需复制并过去他们的代码，然后在发出第一个ajax请求之前运行一次）。

Answer 2

我一直在试图解决同样的问题，并且正如arnaud576875所说的，您必须在每个ajax请求上添加csrf标记头，就像Django文档所说的https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax并在您发出任何Ajax请求之前执行该代码。

但还有一些额外的，你必须找到一种方法，在试图做任何AJAX请求之前，加载csrf标记到你的应用程序的cookie之前，经过很多痛苦的小时研究我找不到具体的答案如何做到这一点，我所发现的是，为了确保您的视图在cookie中发送csrf令牌，您可以使用ensure_csrf_token()到每个您想要接收令牌的视图https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#django.views.decorators.csrf.ensure_csrf_cookie这似乎适用于很多人，但没有为我工作。

另一种方法是使用传统方法，将'django.middleware.csrf.CsrfResponseMiddleware'添加到您的MIDDLEWARE_CLASSES，但我不推荐此方法，因为存在一些安全风险。 https://docs.djangoproject.com/en/1.2/ref/contrib/csrf/#legacy-method

我之前说过的所有这些方法都不适合我。我允许Ajax做一些请求的方式如下，如果有人发现这是一个危险的方法，请让我知道：

1. 转到第一个视图，您的用户将命中，如/主页。
2. 重定向或分析任何 request.META["CSRF_COOKIE_USED"] = True

前插入这个就是这样，这就是我的工作方式，但正如我所说，我以前不知道这是正确的方法还是最安全的一个来完成csrf保护。