欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

vue-resource post数据时碰到Django csrf问题的解决

程序员文章站 2022-06-02 09:28:20
公司最近用vue写前端,用vue-resource遇到的一些问题,现在记录下来。vue-resource post数据this.$http.post('/someurl',data, [options...

公司最近用vue写前端,用vue-resource遇到的一些问题,现在记录下来。

vue-resource post数据

this.$http.post('/someurl',data, [options]).then(function(response){
  // 响应成功回调
}, function(response){
  // 响应错误回调
});

vue-resource 向后端请求api, 公司的后台是用django 开发的,django为了防止跨站请求伪造,即csrf攻击,提供了csrfviewmiddleware中间件来防御csrf攻击。

我们在html 页面里加入{% csrf %}来让django渲染出一个csrf的标签

(如果是form 提交表单的话,我们要把这个标签加在form标签内,如果是用xhr提交的话写在html页面里就可以了)

不写在form 表单内,但是实现效果是一样的,我们都需要在post 的表单中提供csrftoken我们在vue里要传送的的data 里要加上csrf的key

data{
  csrfmiddlewaretoken: '{{ csrf_token }}' 
}

这样django解析表单时会解析到csrf_token, 我们post的数据就不会遇到403 forbidden了。

其实这样是投机取巧的行为,这样虽然django 也能识别,但是遇到复杂的数据时就不行了,比如数组,vue-resource post 数组的时候, 因为我之前在post的option里加了一个option {emulatejson: true},这样vue-resource 在post数据时,会把data 转换成 application/x-www-form-urlencoded表单格式,但是这样的话,post 的数组就会被解析成arrry[0]item 这样的话,后端是不识别的,会报错。

解决方式查到是把csrftoken 放在报头里,data 传数据,具体解决方式是加一条

vue.http.headers.common['x-csrftoken'] = $("input[name='csrfmiddlewaretoken']").val()

其中$("input[name='csrfmiddlewaretoken']").val() 是取django 的{% csrf %}在模板解析后生成的input里的csrftoken。

其中报头的话django 在后台解析的时候会自动加上http_的前缀,所以说我们的报头是 x-csrftoken就可以了。

补充知识:vue向django发送post返回403:csrf failed: csrf token missing or incorrect

问题描述

前端是vue,后端是django。

vue用axios向后端发送post代码如下:

 let params = new urlsearchparams()
  params.append('orderid', orderid)
  params.append('dishid', dishid)
  axios.post(loginurl, params})
   .then(response => {
    console.log(response)
    cb()
   })
   .catch(error => {
    console.log(error)
    errorcb()
   })

但是服务器返回403错误,点开一看,csrf failed: csrf token missing or incorrect

原因

根据这个链接

这是一个django的跨域访问问题。

django,会对合法的跨域访问做这样的检验,cookies里面存储的'csrftoken',和post的header里面的字段”x-csrftoken'作比较,只有两者匹配,才能通过跨域检验。否则会返回这个错误:csrf failed: csrf token missing or incorrect

解决方法

由上面的分析可以得出,只要在post请求的header添加一个字段'x-csrftoken',这个字段和cookie里面的‘csrftoken'一样就好了。

在post请求添加一个header,内容如下:

{headers: {'x-csrftoken': this.getcookie('csrftoken')}

其中,getcookies是这样一个函数,用于将cookies里面的内容按名字取出:

getcookie (name) {
   var value = '; ' + document.cookie
   var parts = value.split('; ' + name + '=')
   if (parts.length === 2) return parts.pop().split(';').shift()
  },

最终的post请求如下:

  params.append('orderid', orderid)
  params.append('dishid', dishid)
  axios.post(loginurl, params, {headers: {'x-csrftoken': this.getcookie('csrftoken')}})
   .then(response => {
    console.log(response)
    cb()
   })
   .catch(error => {
    console.log(error)
    errorcb()
   })

以上这篇vue-resource post数据时碰到django csrf问题的解决就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持。