Python Django CSRF 判断因 Ajax POST 请求而失败

Real solution

好的，我设法找到了问题所在.它存在于Javascript代码中(正如我在下面建议的).

您需要的是:

$.ajaxSetup({ 
     beforeSend: function(xhr, settings) {
         function getCookie(name) {
             var cookieValue = null;
             if (document.cookie && document.cookie != '') {
                 var cookies = document.cookie.split(';');
                 for (var i = 0; i < cookies.length; i++) {
                     var cookie = jQuery.trim(cookies[i]);
                     // Does this cookie string begin with the name we want?
                     if (cookie.substring(0, name.length + 1) == (name + '=')) {
                         cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                         break;
                     }
                 }
             }
             return cookieValue;
         }
         if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
             // Only send the token to relative URLs i.e. locally.
             xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
         }
     } 
});

与官方文件中发布的代码不同:

工作代码来自Django条目:http://www.djangoproject.com/weblog/2011/feb/08/security/

因此，一般的解决方案是:"使用ajaxSetup处理程序，而不是ajaxSend处理程序".我不知道它为什么有效.但这对我来说很管用:)

Previous post (without answer)个

事实上，我也遇到了同样的问题.

它发生在更新到Django 1.2.5之后--在Django 1.2.4中，Ajax POST请求没有错误(Ajax没有以任何方式受到保护，但它工作得很好).

和OP一样，我也try 了Django文档中发布的JavaScript片段.我使用的是jQuery 1.5.我还使用了"django.middleware.csrf.CsrfViewMiddleware"中间件.

我试图遵循中间件代码，但我知道它在以下方面失败:

request_csrf_token = request.META.get('HTTP_X_CSRFTOKEN', '')

然后

if request_csrf_token != csrf_token:
    return self._reject(request, REASON_BAD_TOKEN)

此"if"为真，因为"request_csrf_token"为空.

基本上，这意味着没有设置标题.那么这句JS有什么问题吗:

xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));

?

我希望提供的细节将有助于我们解决这个问题:)