Django Framework CSRF nie może być wyłączony i łamie moją witrynę

Question

Nie można wyłączyć oprogramowania pośredniego django csrf. Skomentowałem to z mojego Middleware mojego projektu, ale moje loginy zawodziły z powodu problemów z CSRF. Pracuję z pnia Django. Jak CSRF może powodować problemy, jeśli nie jest włączone w oprogramowaniu pośredniczącym?

Muszę to wyłączyć, ponieważ na mojej stronie jest dużo żądań POST, że CSRF właśnie się zepsuł. Jakieś opinie na temat całkowitego wyłączenia CSRF w projekcie django trunk?

"Nowe" ramy CSRF z pnia Django przerywają zewnętrzną stronę, która przychodzi i robi POST pod adresem URL, który im podaję (jest to część restrykcyjnego API). Nie mogę wyłączyć ramy CSRF jak powiedziałem wcześniej, jak mogę rozwiązać ten problem?

Answer 1

Zobacz odpowiedzi poniżej, aby uzyskać lepsze rozwiązanie. Odkąd to napisałem, wiele się zmieniło. Istnieją teraz lepsze sposoby na wyłączenie CSRF.

Czuję twój ból. Niedopuszczalne jest, aby struktura zmieniała takie podstawowe funkcje. Nawet jeśli chcę zacząć używać tego od teraz, mam już istniejące witryny na tym samym komputerze, które dzielą się kopią django. Zmiany takie jak ta powinny wymagać aktualizacji głównych wersji. 1.x -> 2.x.

W każdym razie, aby to naprawić, właśnie skomentowałem to i przestałem aktualizować Django tak często.

pliku: django/middleware/csrf.py Wokół linii 160:

  # check incoming token 
#   request_csrf_token = request.POST.get('csrfmiddlewaretoken', None) 
#   if request_csrf_token != csrf_token: 
#    if cookie_is_new: 
#     # probably a problem setting the CSRF cookie 
#     return reject("CSRF cookie not set.") 
#    else: 
#     return reject("CSRF token missing or incorrect.") 

Answer 2

Generalnie nie należy wyłączyć ochronę CSRF, ponieważ ten sposób otwiera się luk bezpieczeństwa. Jeśli upierasz się, choć ...

nowa sposób wykonywania ochrony CSRF wylądował w bagażniku właśnie ostatnio.Czy witryna jest przypadkiem nadal skonfigurowany, aby zrobić to stary sposób? Oto the docs for The New Way™ i tutaj są docs for The Old Way™.

Answer 3

Tak, Django ram CSRF może być wyłączona.

Aby ręcznie wykluczyć funkcję widoku z obsługi przez dowolne oprogramowanie warstwy CSRF, można użyć dekoratora csrf_exempt, który znajduje się w module django.views.decorators.csrf. Na przykład: (see doc)

from django.views.decorators.csrf import csrf_exempt           
@csrf_exempt                     
def my_view:                    
    return Httpresponse("hello world") 

..i następnie usunąć {% csrf_token %} wewnątrz formularzy z szablonu, lub pozostawić inne rzeczy bez zmian, jeśli nie obejmowały go w formach.

Answer 4

Po prostu próbowałem usunąć odniesienia do klas oprogramowania pośredniego csrf z mojego settings.py, zadziałało. Nie jestem pewien, czy jest to akceptowalne. Wszelkie komentarze? Usunięto poniższe dwie linie -

 'django.middleware.csrf.CsrfViewMiddleware', 
     'django.middleware.csrf.CsrfResponseMiddleware', 

Answer 5

Możesz wyłączyć to w oprogramowaniu pośredniczącym.

W Twojej settings.py dodaj linię do MIDDLEWARE_CLASSES:

MIDDLEWARE_CLASSES = (

    myapp.disable.DisableCSRF, 

) 

Tworzenie Wyłącz.py w MojaApl z następującym

class DisableCSRF(object): 
    def process_request(self, request): 
     setattr(request, '_dont_enforce_csrf_checks', True) 

Zasadniczo jeśli ustawić _dont_enforce_csrf_checks w swoim wniosku, powinno być OK.

Answer 6

moja wersja django to 1.11. middleware powinno być tak:

from django.utils.deprecation import MiddlewareMixin 


class DisableCSRF(MiddlewareMixin): 
    def process_request(self, request): 
     setattr(request, '_dont_enforce_csrf_checks', True)