django - CSRF django nginx 与来自 cloudflare 的 ssl

Question

背景

我正在尝试配置我的 Django 应用程序以使用 cloudflare 提供的 ssl。我的设置与 this answer 大致相同并遵循相同的解决方案。

问题:

这几个星期以来一直困扰着我(请帮忙!)，因为我不是网络/安全人员，只需要一个避免我挖眼睛的解决方案出，但要保证网站安全。

我目前遇到一个 CSRF 问题，其中 https://www.domain.co.uk不匹配 https://domain.co.uk

配置

设置.py

SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTOCOL', 'https')
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
)
USE_X_FORWARDED_HOST = True

nginx:

server {

    listen 80 default_server;

    server_name domain.co.uk www.domain.co.uk;
    access_log off;

    location /static/ {
        alias /static/;
    }


    location / {
            proxy_pass http://127.0.0.1:8000;
            proxy_set_header X-Forwarded-Host $server_name;
            proxy_set_header X-Real-IP $remote_addr;
            add_header P3P 'CP="ALL DSP COR PSAa PSDa OUR NOR ONL UNI COM NAV"';

            proxy_set_header X-Scheme $scheme;
            proxy_set_header X-Forwarded-Protocol $scheme;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            }
}

Cloudflare DNS:

A domain.co.uk  points to <ip> Automatic
CNAME www is an alias of domain.co.uk Automatic 

奖金

此外，我还有域的 .com，想知道如何最好地设置它，以便它也是 ssl。

Answer 1

您需要设置发送 CSRF cookie 的域。尝试设置 CSRF_COOKIE_DOMAIN至 ".domain.co.uk"和 CSRF_COOKIE_SECURE至 True在您的设置中。

相关文档https://docs.djangoproject.com/en/4.1/ref/csrf/#how-it-works