今天在是使用Django做自己博客的时候,在提交表单的时候出现了
403 CSRF verification failed. Request aborted
一开始见到这个错误就蒙了,只是看看错误的来源,其实就主要考虑三方面
1.在视图函数添加上下文实例
如 添加一个导入 from django.template import RequestContext
render_to_response('css3two_blog/addblog.html',{'form':form},\
context_instance=RequestContext(request))
2. 在视图模板中的表单中加入 {% csrf_token %}
<div class="blog-index">
<form action=="addBlog" method = "post">
{% csrf_token %}
<table>
{{form.as_table}}
</table>
<input type ="submit" value="Submit">
3. 也就是很重要的一点,就是CSRF模块的设置
打开setting.py文件 添加 'django.middleware.csrf.CsrfViewMiddleware',
如:
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
)
如果前面三个都不行,那就在视图函数前面添加一个修饰符 @csrf_protect
需要导入修饰符: from django.views.decorators.csrf import csrf_protect
具体添加如下:
@csrf_protect
def addBlog(request):
if request.method == 'POST'
中解决这个问题可以得出,遇到问题第一步先从报错中找原因,Django的调试功能还是很强大的。然后慢慢分析具体的
原因的,首先这个问题我们必须了解到什么是CSRF?
解释如下:
于是搜索关键字看看,得知它是一种跨站请求伪造,黑客可以利用这个攻击站点。而Django里的使用这个机制就是防止CSRF模式攻击,原理大致是当你打开页面的时候产生一个csrftokey种下cookie,然后当你提交表单时会把本地cookie里的csrftokey值给提交服务器,服务器判断只有有效的csrftokey值才处理请求。
既然这样,我就查看了一下cookie信息这里是Google的chrome,发现果真种了一个csrftokey值
右键HTML页面查看源代码,发现{% csrf_token %}位置替换成了一个input隐藏值
可以看到input的类型是hidden且它的值和cookie中的csrftoken的值相当。这就是解释了为什么如果浏览器支持cookie的时候,需要添加这样一个{%csrf_token%}
或者我们把{% csrf_token %}这个占位符去除,然后使用<input type ='hidden',name='csrfmiddlewaretoken'>
来替代,也是可以正常工作的!到目前为止已经正确地解决了遇到的问题。
当然还可以不使用CSRF,具体为
Django提供了POST表单使用CSRF验证功能,感觉还是挺不错的。但在Django里能不能像普通的Form表单一样不使用CSRF验证功能呢?答案是肯定可以的。
1、我在settings.py的MIDDLEWARE_CLASSES把'django.middleware.csrf.CsrfViewMiddleware'注释
2、移出FROM表单里的{% csrf_token %}标记
3、不导入RequestContext模块,并把render_to_response()里的context_instance=RequestContext(request)去掉
重新运行网页测试提交留言正常。至此,应该可以判断出上边1步骤里的'django.middleware.csrf.CsrfViewMiddleware'语句开启了CSRF验证功能,默认是开启的,注释以后就关闭CSRF验证POST表单提交功能了。