Wie deaktiviere ich die CSRF-Validierung von Django?

Ich habe CSRF-Prozessor- und Middleware-Zeilen in auskommentiert settings.py:

122 
123 TEMPLATE_CONTEXT_PROCESSORS = (
124     'django.contrib.auth.context_processors.auth',
125 #    'django.core.context_processors.csrf',
126     'django.core.context_processors.request',
127     'django.core.context_processors.static',
128     'cyathea.processors.static',
129 )
130 
131 MIDDLEWARE_CLASSES = (
132     'django.middleware.common.CommonMiddleware',
133     'django.contrib.sessions.middleware.SessionMiddleware',
134 #    'django.middleware.csrf.CsrfViewMiddleware',
135     'django.contrib.auth.middleware.AuthenticationMiddleware',
136     'django.contrib.messages.middleware.MessageMiddleware',
137     'django.middleware.locale.LocaleMiddleware',
138     # Uncomment the next line for simple clickjacking protection:
139     # 'django.middleware.clickjacking.XFrameOptionsMiddleware',
140 )

Wenn ich jedoch Ajax zum Senden einer Anfrage verwende, antwortet Django immer noch, dass das CSRF-Token falsch ist oder fehlt. Nach dem Hinzufügen von X-CSRFToken zu den Headern ist die Anfrage erfolgreich.

Was geht hier vor sich ?

Wenn Sie nur einige Ansichten benötigen, um CSRF nicht zu verwenden, können Sie Folgendes verwenden @csrf_exempt:

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def my_view(request):
    return HttpResponse('Hello world')

Weitere Beispiele und andere Szenarien finden Sie in der Django-Dokumentation:

• https://docs.djangoproject.com/de/dev/ref/csrf/#edge-cases

Um CSRF für klassenbasierte Ansichten zu deaktivieren, hat Folgendes für mich funktioniert.
Verwenden von Django 1.10 und Python 3.5.2

from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator

@method_decorator(csrf_exempt, name='dispatch')
class TestView(View):
    def post(self, request, *args, **kwargs):
        return HttpResponse('Hello world')

In setting.pyMIDDLEWARE können Sie diese Zeile einfach entfernen / kommentieren:

'django.middleware.csrf.CsrfViewMiddleware',

Für Django 2 :

from django.utils.deprecation import MiddlewareMixin


class DisableCSRF(MiddlewareMixin):
    def process_request(self, request):
        setattr(request, '_dont_enforce_csrf_checks', True)

Diese Middleware muss gegebenenfalls hinzugefügt settings.MIDDLEWAREwerden (z. B. in Ihren Testeinstellungen).

Hinweis: Die Einstellung wird nicht mehr aufgerufen MIDDLEWARE_CLASSES.

Die Antwort mag unangemessen sein, aber ich hoffe, sie hilft Ihnen

class DisableCSRFOnDebug(object):
    def process_request(self, request):
        if settings.DEBUG:
            setattr(request, '_dont_enforce_csrf_checks', True)

Eine solche Middleware hilft beim Debuggen von Anforderungen und beim Überprüfen von csrf auf Produktionsservern.

Das Problem hierbei ist, dass SessionAuthentication eine eigene CSRF-Validierung durchführt. Aus diesem Grund wird der CSRF-Fehler auch dann angezeigt, wenn die CSRF-Middleware kommentiert wird. Sie können jeder Ansicht @csrf_exempt hinzufügen. Wenn Sie jedoch CSRF deaktivieren und die Sitzungsauthentifizierung für die gesamte App durchführen möchten, können Sie eine zusätzliche Middleware wie diese hinzufügen.

class DisableCSRFMiddleware(object):

def __init__(self, get_response):
    self.get_response = get_response

def __call__(self, request):
    setattr(request, '_dont_enforce_csrf_checks', True)
    response = self.get_response(request)
    return response

Ich habe diese Klasse in myapp / middle.py erstellt. Dann importiere diese Middleware in Middleware in settings.py

MIDDLEWARE = [
    'django.middleware.common.CommonMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    #'django.middleware.csrf.CsrfViewMiddleware',
    'myapp.middle.DisableCSRFMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',

]

Das funktioniert mit DRF auf Django 1.11

Wenn Sie es in Global deaktivieren möchten, können Sie eine benutzerdefinierte Middleware wie diese schreiben

from django.utils.deprecation import MiddlewareMixin

class DisableCsrfCheck(MiddlewareMixin):

    def process_request(self, req):
        attr = '_dont_enforce_csrf_checks'
        if not getattr(req, attr, False):
            setattr(req, attr, True)

Fügen Sie diese Klasse dann zuvor youappname.middlewarefilename.DisableCsrfCheckzu MIDDLEWARE_CLASSESListen hinzudjango.middleware.csrf.CsrfViewMiddleware

CSRF kann auf Ansichtsebene erzwungen werden und kann nicht global deaktiviert werden .

In einigen Fällen ist dies ein Schmerz, aber ähm, "es ist für die Sicherheit". Muss diese AAA-Ratings behalten.

https://docs.djangoproject.com/de/dev/ref/csrf/#contrib-and-reusable-apps

@WoooHaaaa Einige Pakete von Drittanbietern verwenden die Middleware 'django.middleware.csrf.CsrfViewMiddleware'. Zum Beispiel benutze ich django-rest-oauth und ich habe ein Problem wie Sie, auch nachdem ich diese Dinge deaktiviert habe. Vielleicht haben diese Pakete wie in meinem Fall auf Ihre Anfrage reagiert, weil Sie den Authentifizierungsdekorator und so etwas verwenden.