我可以通过我的 AJAX 帖子使用一些帮助来遵守 Django 的 CSRF 保护机制。我已按照此处的说明进行操作:
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/
我已经完全复制了他们在该页面上的 AJAX 示例代码:
http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax
我在 xhr.setRequestHeader
调用之前放置了一个打印 getCookie('csrftoken')
内容的警报,它确实填充了一些数据。我不确定如何验证 token 是否正确,但我很高兴它正在查找和发送某些内容。
但 Django 仍然拒绝我的 AJAX 帖子。
这是我的 JavaScript:
$.post("/memorize/", data, function (result) {
if (result != "failure") {
get_random_card();
}
else {
alert("Failed to save card data.");
}
});
这是我从 Django 看到的错误:
[23/Feb/2011 22:08:29] "POST /memorize/ HTTP/1.1" 403 2332
我确定我错过了一些东西,也许它很简单,但我不知道它是什么。我搜索了 SO 并看到了一些关于通过 csrf_exempt
装饰器关闭我的 View 的 CSRF 检查的信息,但我发现这没有吸引力。我已经尝试过了,它可以工作,但如果可能的话,我宁愿让我的 POST 以 Django 设计的方式工作。
以防万一,这是我的观点的要点:
def myview(request):
profile = request.user.profile
if request.method == 'POST':
"""
Process the post...
"""
return HttpResponseRedirect('/memorize/')
else: # request.method == 'GET'
ajax = request.GET.has_key('ajax')
"""
Some irrelevent code...
"""
if ajax:
response = HttpResponse()
profile.get_stack_json(response)
return response
else:
"""
Get data to send along with the content of the page.
"""
return render_to_response('memorize/memorize.html',
""" My data """
context_instance=RequestContext(request))
感谢您的回复!
最佳答案
如果你使用 $.ajax
函数,你可以简单地在数据体中添加 csrf
标记:
$.ajax({
data: {
somedata: 'somedata',
moredata: 'moredata',
csrfmiddlewaretoken: '{{ csrf_token }}'
},
关于python - Django CSRF 检查因 Ajax POST 请求而失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5100539/