在使用Django提交Post表單時遇到如下錯誤:
- Forbidden (403)
- CSRF verification failed. Request aborted.
原因在"幫助"中已經寫的很清楚了。
一般而言,這可以發生時,有一個真正的跨站請求偽造,或當Django的CSRF的機制還沒有正確使用。 對於POST表單,您需要確保:
*該視圖功能使用模板RequestContext的。
*在模板中,有{%csrf_token%}(模板網址標記在每個郵局形式的內部目標。
*如果您不使用CsrfViewMiddleware,那么你必須在view中使用csrf_protect,
您看到此頁面的幫助部分,因為你在settings中設置了 DEBUG = True。 改變這種狀況為False,只有最初的錯誤信息會被顯示。您可以使用CSRF_FAILURE_VIEW設置自定義此頁面。
所以,解決方法:
1、在表單Form里加上{% csrf_token %}
2、在Settings里的MIDDLEWARE_CLASSES增加配置:(一般默認就有)
'django.middleware.csrf.CsrfViewMiddleware',
#'django.middleware.csrf.CsrfResponseMiddleware',
1.2.X示例:
- MIDDLEWARE_CLASSES = (
- 'django.middleware.common.CommonMiddleware',
- 'django.contrib.sessions.middleware.SessionMiddleware',
- 'django.middleware.csrf.CsrfViewMiddleware',
- 'django.middleware.csrf.CsrfResponseMiddleware',
- 'django.contrib.auth.middleware.AuthenticationMiddleware',
- 'django.contrib.messages.middleware.MessageMiddleware',
- )
3、在view中的方法上面加上@csrf_protect注解。同時使用RequestContext代替Context。示例:
----------------------------------------------------------------------------------------------------------------------------------
@csrf_protect
def login(request):
...
return render_to_response('index.html',context_instance=RequestContext(request))
----------------------------------------------------------------------------------------------------------------------------------
詳情:
https://docs.djangoproject.com/en/1.2/ref/contrib/csrf/
https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ref-contrib-csrf
擴展閱讀:
django.contrib.csrf 開發包只有一個模塊: middleware.py 。該模塊包含了一個 Django 中間件類——CsrfMiddleware ,該類實現了 CSRF 防護功能。
在設置文件中將 'django.contrib.csrf.middleware.CsrfMiddleware' 添加到 MIDDLEWARE_CLASSES 設置中可激活 CSRF 防護。 該中間件必須在 SessionMiddleware 之后 執行,因此在列表中 CsrfMiddleware 必須出現在SessionMiddleware 之前 (因為響應中間件是自后向前執行的)。 同時,它也必須在響應被壓縮或解壓之前對響應結果進行處理,因此 CsrfMiddleware 必須在 GZipMiddleware 之后執行。一旦將它添加到MIDDLEWARE_CLASSES設置中,你就完成了工作。