6

存储在哪里csrftoken

当我访问 API 端点(注销 API,它不需要参数):

POST /rest-auth/logout/ HTTP/1.1
Host: 10.10.10.105:8001
Connection: keep-alive
Content-Length: 0
Accept: application/json, text/plain, */*
Origin: http://localhost:8080
Authorization: Token 0fe2977498e51ed12ddc93026b08ab0b1a06a434
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.146 Safari/537.36
Referer: http://localhost:8080/register
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: sessionid=b95zopro0qvkrexj8kq6mzo1d3z2hvbl; csrftoken=z53lKL0f7VHkilYS5Ax8FMaQCU2ceouje9OeTJOgTy4gH0UgHVltAlOe2KFNNNB6

标题在上面。在响应中,我收到一个错误:

{"detail":"CSRF Failed: CSRF token missing or incorrect."}

因此,后端必须已验证csrftoken.

在后端数据库中,我找不到该csrftoken字段:

在此处输入图像描述

所以我想知道它在加密中保存在哪里session_data

4

1 回答 1

4

鉴于文档中的这个QAdjango,您可以看到框架默认使用双提交 Cookie方法(而不是同步器模式)。

这种方法不需要服务器存储CSRF令牌,因为它所做的唯一检查是将 cookie 中的令牌与标头(或参数)中的令牌进行比较,并验证它们是否相等。

另一方面,同步器模式确实将令牌存储CSRF在服务器中的某处,并且对于每个请求,它通过将其与通过标头发送的令牌(或像以前一样,在 POST 参数中)进行比较来验证其有效性。

您可以在此处阅读有关这两种方法的更多信息。

我猜您正在使用 Web 服务测试应用程序测试您的 API,在这种情况下,您在请求中的某处丢失了第二个令牌。

本节说明如何为AJAX调用放置令牌:

AJAX 虽然上述方法可用于 AJAX POST 请求,但它有一些不便之处:您必须记住在每个 POST 请求中将 CSRF 令牌作为 POST 数据传递。为此,有一种替代方法:在每个 XMLHttpRequest 上,将自定义 X-CSRFToken 标头设置为 CSRF 令牌的值。这通常更容易,因为许多 JavaScript 框架提供了允许在每个请求上设置标头的钩子。

看到上面的请求,因此您应该放置此标头(当然是当前令牌的值):

X-CSRFToken: z53lKL0f7VHkilYS5Ax8FMaQCU2ceouje9OeTJOgTy4gH0UgHVltAlOe2KFNNNB6
于 2018-03-15T13:52:58.650 回答