请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

有没有出现CSRF cookie not set 的?

django控制台出现
Forbidden (CSRF cookie not set.): /api/v1.0/auth/authorize [19/Feb/2019 21:05:57] “POST /api/v1.0/auth/authorize HTTP/1.1” 403 2868
有没有出现这个错误的?咋解决?Middleware里注释掉csrf?

小程序端出现
http://127.0.0.1:8000/api/v1.0/auth/authorize 403 (Forbidden)

appservice?t=1550581357397:1117 POST
qq_听说_32 2019-02-19 21:09:04
源自:4-4  实现登录功能
497
收起

正在回答

1回答

咚咚呛 2019-02-19 21:47:28

这个是因为Django框架的CSRF组件,需要把在配置里把组件注释掉,如下:

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]


1 回复 有任何疑惑可以回复我~
收起回答
  • 醉舞红袖夜添香 #1 
    把CSRF注释掉以后,会不会有安全问题???不懂,求指导。是不是可以理解成小程序使用https就能够保证了信息安全???
    回复 有任何疑惑可以回复我~ 2019-04-11 16:44:09
  • 咚咚呛 回复 醉舞红袖夜添香 #2 
    同学对安全方面挺感兴趣,赞。要回答这个问题,首先要理解CSRF是什么,CSRF(跨站请求伪造),意思是伪造信任用户向后端发出信任请求,CSRF攻击的必要因素是网页的存在。在课程里,我为什么说可以直接把他注释掉,因为课程的前端是小程序,小程序没有网页页面,且小程序与微信服务器是安全连接的,所以不存在这个风险,可以直接注释掉。另外这个和HTTPS关系不大,CSRF主要在前端伪造向后端发出攻击,即如果受到CSRF攻击了,后端是认为请求是合法的,所以HTTPS无法防护这个问题。
    回复 有任何疑惑可以回复我~ 2019-04-11 20:29:59
  • 醉舞红袖夜添香 回复 咚咚呛 #3 
    那我也需要有前端的情况下怎么办?我需要小程序和前端同时访问。那该怎么办呢?
    回复 有任何疑惑可以回复我~ 2019-04-11 21:01:22
点开查看后面1条评论
取消 回复

相似问题

egg不是自带了csrf安全防范么?
1041 0 4
为什么csrf.html页面可以获得comment页面userid?
1450 0 1
直接拿cookie去查redis,会不会安全问题
715 0 4
谷歌浏览器,cookie问题
548 0 7
B网站如何获取A网站cookies?? xss 吗?
1055 0 3

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
Django+小程序技术打造微信小程序助手
  • 参与学习       989    人
  • 解答问题       507    个

0到1完整项目实战过程,是难得的Django+小程序全栈项目体验。

了解课程

本课精华内容

问答

【干货】资料推荐贴(持续更新)

1.3k 7

用的是python虚拟空间,静态文件已经收集,网页没有样式

1.1k 23

安装uwsgi的失败信息

2.0k 21

Postman请求数据为null

1.1k 14

请问老师,在真机调试时我输出后台返回的数据,为什么数据是Authorization required呀

1.1k 12

查看更多本课问答
意见反馈 帮助中心 APP下载
官方微信