我使用mod_wsgi在Apache服务器上运行Django,还有一个由Apache而不是Django直接服务的angularjs应用程序.我想对Django服务器进行POST调用(运行睡觉框架),但是我在使用CSRF令牌时遇到了问题.
有没有办法在不将{% csrf token %}作为模板的一部分的情况下从服务器设置令牌(因为这些页面不经过django)?
Django和AngularJS都已经有了CSRF支持,您的部分非常简单.
首先,您需要在Django中启用CSRF,我相信您已经这样做了,如果没有,请遵循Django文档https://docs.djangoproject.com/en/1.5/ref/contrib/csrf/#ajax.
现在,Django将在第一个GET请求上设置一个名为csrftoken的cookie,并期望在以后的POST/PUT/DELETE请求上有一个自定义HTTP头X-CSRFToken.
对于ANGLING,它需要名为XSRF-TOKEN的cookie,并将使用X-XSRF-TOKEN标头执行POST/PUT/DELETE请求,因此您需要做一些调整以使这两个请求相互配合:
$httpProvider.defaults.xsrfCookieName = 'csrftoken';
$httpProvider.defaults.xsrfHeaderName = 'X-CSRFToken';
在您的js代码中的某个地方添加以上两行,Mode.config()挡路是一个很好的位置.
就这样.
NOTE:这是angular 1.1.5版本,旧版本可能需要不同的方法.
由于angular应用程序不由django提供服务,为了设置cookie,angular应用程序需要首先向django发出GET请求.