Как в Django передать JavaScript-ом токен для метода POST при динамическом обновлении страниц?

Question

[Сергей Еремин]

В последних Django для предотвращения атак предусмотрены токена при передачи данных методом POST. Что-то типа:

def main_init ( request ) :
    dimention_to_template = {}   # словарь, для передачи шаблону
    dimention_to_template.update( { 'data': 100 } ) 
    dimention_to_template.update( csrf(request) ) # токен, для метода POST
    response = render ( request, "index.html", dimention_to_template )
    return response

Соответственно в шаблоне пишем, что-то типа:

<form  action="get_address" method="post">
    {% csrf_token %}
    <input type="text" name="addr" value="Город, улица, дом" />
    <button type="submit">Найти</button>
</form>

И все работает.

Но вот если событие "submit" в форме обрабатывает JavaScript (например, если нужно динамическое обновление страниц), то передача токена не происходит. Что вызывает 403 ошибку. То есть например, если у нас в шаблоне:

<form id="input_address">
    <div id="box">
        {% csrf_token %}
        <input type="text" name="addr" value="Город, улица, дом" id="address" />
        <button type="submit">Найти</button>
    </div>
</form>

И есть скрипт, обеспечивающий submit и перегружающий контент в блоке "box":

<script type="text/javascript">
    $(document).ready(function(){
        $('#input_address').submit(function(){
            $.ajax({
                type: "POST",
                url: "get_address",
                data: "address="+$("#address").val(),
                success: function(html){
                    $("#box").html(html);
                }
            });
            return false;
        });
    });
</script>

То, естественно, токен не отправляется и возникает ошибка 403. Задача отправить токен через JavaScript/ Только как это сделать? Ведь он формируется Django... Как его спросить что там в токене переодается и как на самом деле этот токен обзывается?

Answer 1

[barker]

Миллион же ответов в инете гуглится. Я чаще всего в таких случаях (т.е. во внешних каких-то более-менее повторно используемых скриптах) тупо выношу токен в основную страницу, потом использую просто как JS-переменную: dark-barker.blogspot.ru/2013/10/django-csrftoken-a...

Comments

[Сергей Еремин]

Спасибо. Я уже к этому времени сам нашел. В моем случае вот так сработало:

<script type="text/javascript">
    $(document).ready(function(){
        $('#input_address').submit(function(){
            $.ajax({
                type: "POST",
                url: "get_address",
                data: "csrfmiddlewaretoken={{ csrf_token }}&address="+$("#address").val(),
                success: function(html){
                    $("#box").html(html);
                }
            });
            return false;
        });
    });

    </script>

[barker]

Ну, если скрипт встроен в страницу, то и так можно, конечно.

[Сергей Еремин]

Самое, блин, странное, что вот так:

data: "address="+$("#address").val()+"&csrfmiddlewaretoken={{ csrf_token }}",

Уже не работает. Вызывает вместо POST, GET и все переменные в нем передает. Почему??

[barker]

Не знаю, никогда так не пишу. Всегда через хеш отдаю параметры, как по ссылке выше:   data : { ..., 'csrfmiddlewaretoken' : csrf_token, },

[Сергей Еремин]

У меня с такой конструкцией тоже не получается. Вызывает вместо url: "get_address", корневой скрипт и вместо метода POST переходит на GET....

Answer 2

[Валентин]

Потому что делают либо
а) data = form.serialize() если мы про jquery
б) как написано в мануале django в общем случае
в) сами берут значения из всех input-ов формы в самом общем случае