解决Django提交表单报错:CSRF token missing or incorrect的问题


Posted in Python onMarch 13, 2020

1、在Django提交表单时报错:Django提交表单报错:

CSRF token missing or incorrect

具体报错页面如下:

解决Django提交表单报错:CSRF token missing or incorrect的问题

2、有道词典翻译后如下:

通常,当存在真正的跨站点请求伪造时,或者Django的CSRF机制没有被正确使用时,就会出现这种情况。至于邮递表格,你须确保:

您的浏览器正在接受cookie。

视图函数将一个请求传递给模板的呈现方法。

在模板中,每个POST表单中都有一个{% csrf_token %}模板标记,目标是一个内部URL。

如果您没有使用CsrfViewMiddleware,那么您必须在任何使用csrf_token模板标签的视图以及那些接受POST数据的视图上使用csrf_protect。

该表单有一个有效的CSRF令牌。在登录另一个浏览器选项卡或登录后单击back按钮之后,您可能需要使用表单重新加载页面,因为登录后令牌会旋转。

您将看到这个页面的帮助部分,因为在Django设置文件中有DEBUG = True。将其更改为False,将只显示初始错误消息。

您可以使用CSRF_FAILURE_VIEW设置自定义这个页面。

3、解决办法:

(1)、确定项目底下的settings.py文件,是否存在django.middleware.csrf.CsrfViewMiddleware:

MIDDLEWARE = [
  'django.middleware.security.SecurityMiddleware',
  'django.contrib.sessions.middleware.SessionMiddleware',
  'django.middleware.common.CommonMiddleware',
  'django.middleware.csrf.CsrfViewMiddleware',
  'django.contrib.auth.middleware.AuthenticationMiddleware',
  'django.contrib.messages.middleware.MessageMiddleware',
  'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

(2)、如果确定settings.py文件有配置了,还是报错,就要在form表单底下加一行代码:

{% csrf_token %}

这样应该就不会报上面错误了,以上内容仅供学习参考,谢谢!

补充知识:Django中csrf token验证原理

我多年没维护的博客园,有一篇初学Django时的笔记,记录了关于django-csrftoekn使用笔记,当时几乎是照抄官网的使用示例,后来工作全是用的flask。博客园也没有维护。直到我的博客收到了如下评论,确实把我给问倒了,而且我也仔细研究了这个问题。

1. Django是怎么验证csrfmiddlewaretoken合法性的?

2. 每次刷新页面的时候<input>中的csrf的value都会更新,每次重复登录的时候cookie的csrf令牌都会刷新,那么这两个csrf-token有什么区别?

解决Django提交表单报错:CSRF token missing or incorrect的问题

image.png
CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。

django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,
这样就能避免被 CSRF 攻击。

这样子看起来似乎没毛病,但是评论中的第三个问题,每次刷新页面,form表单中的token都会刷新,而cookie中的token却只在每次登录时刷新。我对csrftoken的验证方式起了疑问,后来看了一段官方文档的解释。

When validating the ‘csrfmiddlewaretoken' field value, only the secret, not the full token, is compared with the secret in the cookie value. This allows the use of ever-changing tokens. While each request may use its own token, the secret remains common to all.
This check is done by CsrfViewMiddleware.

官方文档中说到,检验token时,只比较secret是否和cookie中的secret值一样,而不是比较整个token。

我又有疑问了,同一次登录,form表单中的token每次都会变,而cookie中的token不便,django把那个salt存储在哪里才能保证验证通过呢。

直到看到源码。

def _compare_salted_tokens(request_csrf_token, csrf_token):
  # Assume both arguments are sanitized -- that is, strings of
  # length CSRF_TOKEN_LENGTH, all CSRF_ALLOWED_CHARS.
  return constant_time_compare(
    _unsalt_cipher_token(request_csrf_token),
    _unsalt_cipher_token(csrf_token),
  )

def _unsalt_cipher_token(token):
  """
  Given a token (assumed to be a string of CSRF_ALLOWED_CHARS, of length
  CSRF_TOKEN_LENGTH, and that its first half is a salt), use it to decrypt
  the second half to produce the original secret.
  """
  salt = token[:CSRF_SECRET_LENGTH]
  token = token[CSRF_SECRET_LENGTH:]
  chars = CSRF_ALLOWED_CHARS
  pairs = zip((chars.index(x) for x in token), (chars.index(x) for x in salt))
  secret = ''.join(chars[x - y] for x, y in pairs) # Note negative values are ok
  return secret

token字符串的前32位是salt, 后面是加密后的token, 通过salt能解密出唯一的secret。

django会验证表单中的token和cookie中token是否能解出同样的secret,secret一样则本次请求合法。

同样也不难解释,为什么ajax请求时,需要从cookie中拿取token添加到请求头中。

网上有不少关于django csrf token验证原理的文章都是错的,是因为他们根本不知道csrf-token的结构组成,我也是卡在第三条评论那.然后看了官方文档,和CsrfViewMiddleware中间件源码然后才恍然大悟。

以上这篇解决Django提交表单报错:CSRF token missing or incorrect的问题就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持三水点靠木。

Python 相关文章推荐
Django与遗留的数据库整合的方法指南
Jul 24 Python
Mac中升级Python2.7到Python3.5步骤详解
Apr 27 Python
Django查询数据库的性能优化示例代码
Sep 24 Python
Python扩展内置类型详解
Mar 26 Python
Python中的二维数组实例(list与numpy.array)
Apr 13 Python
Python中pandas dataframe删除一行或一列:drop函数详解
Jul 03 Python
浅谈python中str字符串和unicode对象字符串的拼接问题
Dec 04 Python
python二进制文件的转译详解
Jul 03 Python
python 多进程共享全局变量之Manager()详解
Aug 15 Python
深度学习入门之Pytorch 数据增强的实现
Feb 26 Python
python实现图片,视频人脸识别(dlib版)
Nov 18 Python
jupyter notebook远程访问不了的问题解决方法
Jan 11 Python
python爬虫实现获取下一页代码
Mar 13 #Python
Python3 利用face_recognition实现人脸识别的方法
Mar 13 #Python
在django中使用post方法时,需要增加csrftoken的例子
Mar 13 #Python
python 安装教程之Pycharm安装及配置字体主题,换行,自动更新
Mar 13 #Python
详解用Python进行时间序列预测的7种方法
Mar 13 #Python
django-xadmin根据当前登录用户动态设置表单字段默认值方式
Mar 13 #Python
在django项目中导出数据到excel文件并实现下载的功能
Mar 13 #Python
You might like
PHP实现文件安全下载
2006/10/09 PHP
PH P5.2至5.5、5.6的新增功能详解
2014/07/14 PHP
ThinkPHP连接数据库的方式汇总
2014/12/05 PHP
php无法连接mysql数据库的正确解决方法
2016/07/01 PHP
Thinkphp5行为使用方法汇总
2017/12/21 PHP
一页面多XMLHttpRequest对象
2007/01/22 Javascript
[原创]保存的js无法执行的解决办法
2007/02/25 Javascript
Javascript 同时提交多个Web表单的方法
2009/02/19 Javascript
jQuery 添加/移除CSS类实现代码
2010/02/11 Javascript
动态显示可输入的字数提示还可以输入的字数
2014/04/01 Javascript
编写自己的jQuery提示框(Tip)插件
2015/02/05 Javascript
基于JS实现移动端访问PC端页面时跳转到对应的移动端网页
2020/12/24 Javascript
vue2.0 子组件改变props值,并向父组件传值的方法
2018/03/01 Javascript
详解在React.js中使用PureComponent的重要性和使用方式
2018/07/10 Javascript
jQuery实现导航样式布局操作示例【可自定义样式布局】
2018/07/24 jQuery
vue elementUI tree树形控件获取父节点ID的实例
2018/09/12 Javascript
Vue循环组件加validate多表单验证的实例
2018/09/18 Javascript
Element input树型下拉框的实现代码
2018/12/21 Javascript
vue.js使用v-model实现表单元素(input) 双向数据绑定功能示例
2019/03/08 Javascript
JS canvas实现画板和签字板功能
2021/02/23 Javascript
解决pyqt中ui编译成窗体.py中文乱码的问题
2016/12/23 Python
深入理解Django的中间件middleware
2018/03/14 Python
Pytorch 多维数组运算过程的索引处理方式
2019/12/27 Python
详解Python修复遥感影像条带的两种方式
2020/02/23 Python
Python计算信息熵实例
2020/06/18 Python
Python基于execjs运行js过程解析
2020/11/27 Python
什么是lambda函数
2013/09/17 面试题
工程概预算专业毕业生求职信
2013/10/04 职场文书
大学生精神文明先进个人事迹材料
2014/05/02 职场文书
社区三八妇女节活动总结
2015/02/06 职场文书
汽车4S店销售经理岗位职责
2015/04/02 职场文书
行政撤诉申请书
2015/05/18 职场文书
2015年秋季运动会前导词
2015/07/20 职场文书
浅谈MySQL next-key lock 加锁范围
2021/06/07 MySQL
JavaScript实现贪吃蛇游戏
2021/06/16 Javascript
Windows和Linux上部署Golang并运行程序
2022/04/22 Servers