如果缺少csrf cookie,则忽略Django 1.6 HTTP_X_CSRFTOKEN标头

 玫瑰编辑1轶事 发布于 2023-01-02 16:32
  • ajax
  • django
  • post
  • csrf
  • view
  • cookie

    • 我有AJAX代码,可向Django 1.6.4应用程序发出POST请求。该视图通过启用了CSRF保护django.middleware.csrf.CsrfViewMiddleware。如果我没有传递cookie,但是传递了HTTP_X_CSRFTOKEN,则它将失败。

    我正在查看的代码,django.middleware.csrf.CsrfViewMiddleware并且在161行上看到它会检查是否if csrf_token is None:从cookie中获取了代码。如果为None,则返回。之后才检查csrfmiddlewaretoken参数和HTTP_X_CSRFTOKEN请求标头。这看起来是不正确的,只有在检查了所有可能的位置后才能检查csrf_token值是否丢失。

    还有其他人有类似的问题吗?我看错了吗?

    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有