解决Django提交表单报错:CSRF token missing or incorrect的问题


Posted in Python onMarch 13, 2020

1、在Django提交表单时报错:Django提交表单报错:

CSRF token missing or incorrect

具体报错页面如下:

解决Django提交表单报错:CSRF token missing or incorrect的问题

2、有道词典翻译后如下:

通常,当存在真正的跨站点请求伪造时,或者Django的CSRF机制没有被正确使用时,就会出现这种情况。至于邮递表格,你须确保:

您的浏览器正在接受cookie。

视图函数将一个请求传递给模板的呈现方法。

在模板中,每个POST表单中都有一个{% csrf_token %}模板标记,目标是一个内部URL。

如果您没有使用CsrfViewMiddleware,那么您必须在任何使用csrf_token模板标签的视图以及那些接受POST数据的视图上使用csrf_protect。

该表单有一个有效的CSRF令牌。在登录另一个浏览器选项卡或登录后单击back按钮之后,您可能需要使用表单重新加载页面,因为登录后令牌会旋转。

您将看到这个页面的帮助部分,因为在Django设置文件中有DEBUG = True。将其更改为False,将只显示初始错误消息。

您可以使用CSRF_FAILURE_VIEW设置自定义这个页面。

3、解决办法:

(1)、确定项目底下的settings.py文件,是否存在django.middleware.csrf.CsrfViewMiddleware:

MIDDLEWARE = [
  'django.middleware.security.SecurityMiddleware',
  'django.contrib.sessions.middleware.SessionMiddleware',
  'django.middleware.common.CommonMiddleware',
  'django.middleware.csrf.CsrfViewMiddleware',
  'django.contrib.auth.middleware.AuthenticationMiddleware',
  'django.contrib.messages.middleware.MessageMiddleware',
  'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

(2)、如果确定settings.py文件有配置了,还是报错,就要在form表单底下加一行代码:

{% csrf_token %}

这样应该就不会报上面错误了,以上内容仅供学习参考,谢谢!

补充知识:Django中csrf token验证原理

我多年没维护的博客园,有一篇初学Django时的笔记,记录了关于django-csrftoekn使用笔记,当时几乎是照抄官网的使用示例,后来工作全是用的flask。博客园也没有维护。直到我的博客收到了如下评论,确实把我给问倒了,而且我也仔细研究了这个问题。

1. Django是怎么验证csrfmiddlewaretoken合法性的?

2. 每次刷新页面的时候<input>中的csrf的value都会更新,每次重复登录的时候cookie的csrf令牌都会刷新,那么这两个csrf-token有什么区别?

解决Django提交表单报错:CSRF token missing or incorrect的问题

image.png
CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。

django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,
这样就能避免被 CSRF 攻击。

这样子看起来似乎没毛病,但是评论中的第三个问题,每次刷新页面,form表单中的token都会刷新,而cookie中的token却只在每次登录时刷新。我对csrftoken的验证方式起了疑问,后来看了一段官方文档的解释。

When validating the ‘csrfmiddlewaretoken' field value, only the secret, not the full token, is compared with the secret in the cookie value. This allows the use of ever-changing tokens. While each request may use its own token, the secret remains common to all.
This check is done by CsrfViewMiddleware.

官方文档中说到,检验token时,只比较secret是否和cookie中的secret值一样,而不是比较整个token。

我又有疑问了,同一次登录,form表单中的token每次都会变,而cookie中的token不便,django把那个salt存储在哪里才能保证验证通过呢。

直到看到源码。

def _compare_salted_tokens(request_csrf_token, csrf_token):
  # Assume both arguments are sanitized -- that is, strings of
  # length CSRF_TOKEN_LENGTH, all CSRF_ALLOWED_CHARS.
  return constant_time_compare(
    _unsalt_cipher_token(request_csrf_token),
    _unsalt_cipher_token(csrf_token),
  )

def _unsalt_cipher_token(token):
  """
  Given a token (assumed to be a string of CSRF_ALLOWED_CHARS, of length
  CSRF_TOKEN_LENGTH, and that its first half is a salt), use it to decrypt
  the second half to produce the original secret.
  """
  salt = token[:CSRF_SECRET_LENGTH]
  token = token[CSRF_SECRET_LENGTH:]
  chars = CSRF_ALLOWED_CHARS
  pairs = zip((chars.index(x) for x in token), (chars.index(x) for x in salt))
  secret = ''.join(chars[x - y] for x, y in pairs) # Note negative values are ok
  return secret

token字符串的前32位是salt, 后面是加密后的token, 通过salt能解密出唯一的secret。

django会验证表单中的token和cookie中token是否能解出同样的secret,secret一样则本次请求合法。

同样也不难解释,为什么ajax请求时,需要从cookie中拿取token添加到请求头中。

网上有不少关于django csrf token验证原理的文章都是错的,是因为他们根本不知道csrf-token的结构组成,我也是卡在第三条评论那.然后看了官方文档,和CsrfViewMiddleware中间件源码然后才恍然大悟。

以上这篇解决Django提交表单报错:CSRF token missing or incorrect的问题就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持三水点靠木。

Python 相关文章推荐
Python入门篇之函数
Oct 20 Python
详解Python的Django框架中manage命令的使用与扩展
Apr 11 Python
Python的Flask框架应用程序实现使用QQ账号登录的方法
Jun 07 Python
Python将多个excel文件合并为一个文件
Jan 03 Python
详解pyqt5 动画在QThread线程中无法运行问题
May 05 Python
Python BS4库的安装与使用详解
Aug 08 Python
python实现大文本文件分割
Jul 22 Python
python3.7实现云之讯、聚合短信平台的短信发送功能
Sep 26 Python
Django项目使用ckeditor详解(不使用admin)
Dec 17 Python
如何给Python代码进行加密
Jan 10 Python
浅谈Python程序的错误:变量未定义
Jun 02 Python
PyTorch如何搭建一个简单的网络
Aug 24 Python
python爬虫实现获取下一页代码
Mar 13 #Python
Python3 利用face_recognition实现人脸识别的方法
Mar 13 #Python
在django中使用post方法时,需要增加csrftoken的例子
Mar 13 #Python
python 安装教程之Pycharm安装及配置字体主题,换行,自动更新
Mar 13 #Python
详解用Python进行时间序列预测的7种方法
Mar 13 #Python
django-xadmin根据当前登录用户动态设置表单字段默认值方式
Mar 13 #Python
在django项目中导出数据到excel文件并实现下载的功能
Mar 13 #Python
You might like
兼容性比较好的PHP生成缩略图的代码
2011/01/12 PHP
使用PHP计算两个路径的相对路径
2013/06/14 PHP
PHP根据IP地址获取所在城市具体实现
2013/11/27 PHP
用 Composer构建自己的 PHP 框架之构建路由
2014/10/30 PHP
php自动更新版权信息显示的方法
2015/06/19 PHP
laravel5创建service provider和facade的方法详解
2016/07/26 PHP
浅谈php fopen下载远程文件的函数
2016/11/18 PHP
基于jQuery的前端数据通用验证库
2011/08/08 Javascript
jquery弹出框的用法示例(一)
2013/08/26 Javascript
js对图片base64编码字符串进行解码并输出图像示例
2014/03/17 Javascript
js获取UserControl内容为拼html时提供方便
2014/11/02 Javascript
JavaScript 模块化编程(笔记)
2015/04/08 Javascript
jQuery实现带水平滑杆的焦点图动画插件
2016/03/08 Javascript
Nodejs中 npm常用命令详解
2016/07/04 NodeJs
JS上传图片预览插件制作(兼容到IE6)
2016/08/07 Javascript
Angular 1.x个人使用的经验小结
2017/07/19 Javascript
javascript兼容性(实例讲解)
2017/08/15 Javascript
element 中 el-menu 组件的无限极循环思路代码详解
2020/04/26 Javascript
解决vue项目中出现Invalid Host header的问题
2020/11/17 Javascript
python中threading超线程用法实例分析
2015/05/16 Python
Python去除字符串两端空格的方法
2015/05/21 Python
Python黑魔法Descriptor描述符的实例解析
2016/06/02 Python
Python实现自动上京东抢手机
2018/02/06 Python
浅谈python写入大量文件的问题
2018/11/09 Python
Python 时间戳之获取整点凌晨时间戳的操作方法
2020/01/28 Python
Pygame的程序开始示例代码
2020/05/07 Python
对Pytorch 中的contiguous理解说明
2021/03/03 Python
个人自我鉴定怎么写
2013/10/28 职场文书
幼儿教师思想汇报
2014/01/10 职场文书
2014年村计划生育工作总结
2014/11/14 职场文书
工会经费申请报告
2015/05/15 职场文书
傲慢与偏见电影观后感
2015/06/10 职场文书
单位证明范文
2015/06/18 职场文书
JS新手入门数组处理的实用方法汇总
2021/04/07 Javascript
基于CSS3画一个iPhone
2021/04/21 HTML / CSS
使用Java去实现超市会员管理系统
2022/03/18 Java/Android