代码之家 › 专栏 › 技术社区 › T. Stone

拥有可发布的API和Django的CSRF中间件

csrf api security django

T. Stone · 技术社区 · 15 年前

我有一个django webapp,它有一个前端的、可访问web的组件和一个由桌面客户机访问的API。然而,现在有了新的CSRF中间件组件,来自桌面客户机的API请求得到了403。

我理解为什么会发生这种情况,但是在不损害安全的情况下,解决这种情况的正确方法是什么?有没有什么方法可以在HTTP头中表明这是一个API请求,Django不应该检查CSRF,或者这是一个坏策略?

编辑——

我现在使用的方法是桌面客户机设置一个header,x-requested-with:xmlhttprequest。这有点老土,但我不确定如何更好地处理。

3 回复 | 直到 11 年前

Mp0int 11 年前

如何为桌面客户机拆分视图并用 csrf_exempt ?

Adam Spence 12 年前

如果您使用的是基于类的视图,那么您将需要csrf_免除分派方法,而不是像下面这样的post方法:

@method_decorator(csrf_exempt)
def dispatch(self, request, *args, **kwargs):
    return super(MyView, self).dispatch(request, *args, **kwargs)

-3

Alex Morega 15 年前

自从Django1.1以来,CSRF代码将自动允许Ajax请求通过,因为浏览器似乎做了适当的安全检查。这里是 original commit 以及 documentation .

推荐文章

Google User · Django管理员在`list_display中未显示`creation_date`字段`

8 月前

Patrick Bond · 如何将模型中的函数结果添加到列表中?

8 月前

Shukurullox Komiljonov · 从记录中获得相互和解。使用SQL

9 月前

bur · 每次从模板调用方法都会查询数据库吗?

9 月前

Stefan · 在子目录中设置Django

9 月前

vale383 · 如何在Django端点中查找user_id

9 月前

Kovy Jacob · Django在动态URL段中添加斜线

9 月前

user987 · 如何在Django中访问提交的表单请求数据

10 月前

dr_colossus · 需要帮助修复Django 404错误,使用URLConf找不到静态页面

10 月前

user24242514 · 将嵌套查询字符串请求转换为字典

10 月前