Pourquoi mes requêtes AJAX POST échouent-elles avec une vérification Django CSRF ?

Échec de la vérification CSRF de Django avec les requêtes POST Ajax

Introduction :

Django implémente un -in pour se protéger contre les attaques CSRF (Cross-Site Request Forgery). Cependant, cette protection peut parfois interférer avec les requêtes AJAX POST. Cet article expliquera le problème et fournira une solution.

Problème :

Une requête AJAX POST adressée à une vue Django peut échouer avec une erreur 403 Forbidden en raison du CSRF de Django. protection. L'erreur se produit lorsque le jeton CSRF dans la requête ne correspond pas à celui généré par Django.

Cause :

Les requêtes Ajax (utilisant JavaScript) peuvent ne pas envoyer automatiquement le Jeton CSRF dans l'en-tête de la requête, ce qui entraîne l'échec de la vérification CSRF Django.

Solution :

Pour résoudre le problème, ajoutez manuellement le jeton CSRF au corps de données de la requête Ajax. Cela peut être fait en utilisant la fonction $.ajax avec la propriété data :

$.ajax({
    data: {
        somedata: 'somedata',
        moredata: 'moredata',
        csrfmiddlewaretoken: '{{ csrf_token }}'
    },
    ...  // other Ajax options
});

Vérification :

Pour vérifier que le jeton est correct, vous pouvez inspecter le valeur du cookie csrfmiddlewaretoken avant de faire la requête Ajax. Ce cookie contient le jeton csrf.

Alternative :

Comme mentionné dans la question d'origine, désactiver la vérification CSRF pour la vue à l'aide du décorateur csrf_exempt n'est pas une approche idéale . Il est recommandé de s'assurer du respect du mécanisme de protection CSRF.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!