Как в Django v1.8 в ClassBasedView установить CSRF-токен?

Question

[Максим Дунаевский]

Здравствуйте!

Раньше работал, а сейча перестал вот этот код:

from django.shortcuts import render_to_response
from django.template.context_processors import csrf
from django.views.generic import View


class Index(View):

    def get(self, request):
        context = {}
        context.update(csrf(request))
        return render_to_response('index.html', context)

Результатом работы этого кода должна быть HTML-страница, содержащая среди cookies sessionid и csrftoken, по факту же вижу только одну печеньку - sessionid. При этом все MIDDLEWARE и прочие настройки оставлены по-умолчанию. Как исправить данную проблему (?) и заставить Django при рендеринге шаблона задавать cookies для CSRF?
Вот это тоже не работает:

def index(request):
    context = {}
    context.update(csrf(request))
    return render_to_response('index.html', context)

Comments

[Alexander Lebedev]

Если я все правильно понял, то в коде вы обрабатываете метод GET. Зачем использовать CSRF в заведомо SAFE (безопасном) методе? Не подумайте, что придираюсь, просто любопытно.

[Максим Дунаевский]

Alexander Lebedev: В данном случае производится вставка кукисов с CSRF-токеном на страницу, а все ответы, которые ниже написали, пока даже не рядом.

[Alexander Lebedev]

Максим Дунаевский: а просить прислать код, чтобы поиграться самому, это очень нагло, да?

[Максим Дунаевский]

Alexander Lebedev: Да весь код уже выше опубликован. Специально демку создал с нуля, чтобы проверить. Есть подозрение, что что-то не так с Python 3.5.

[Alexander Lebedev]

Максим Дунаевский: не хватает разве что settings.py и index.html

Answer 1

[Nerevar_soul]

Для FBV надо в шаблоне добавлять {{ csrftoken }}. CBV если прописана соответствующая MIDDLEWARE в случае FormView добавляет csrftoken автоматически. В случае простого View можно попробовать сделать как в FBV. Или создавать класс на основе FormView или FormMixin.

Comments

[Foo Bar]

Просто добавлю:

The CSRF token is also present in the DOM, but only if explicitly included using csrf_token in a template. The cookie contains the canonical token; the CsrfViewMiddleware will prefer the cookie to the token in the DOM. Regardless, you’re guaranteed to have the cookie if the token is present in the DOM, so you should use the cookie!

Написано про это тут https://docs.djangoproject.com/en/1.8/ref/csrf/ и тут https://docs.djangoproject.com/en/1.8/ref/template...

Проверьте, что в шаблоне подключаете {{ csrf_token }}

Answer 2

[Максим Дунаевский]

Решение оказалось на редкость простым: в шаблоне нужно добавить строку:
{% csrf_token %}
В этом и только в этом случае cookie с CSRF-токеном будет присутствовать на странице.

Answer 3

[sim3x]

stackoverflow.com/questions/29829021/django-csrf-v...

class LoginView(FormView):
  success_url = '/blog/edit/'
  form_class = AuthenticationForm
  template_name = 'blog/login.html'
  
  @method_decorator(sensitive_post_parameters('password'))
  @method_decorator(never_cache)<code></code>
  @method_decorator(requires_csrf_token)
  def dispatch(self, request, *args, **kwargs):
    return super(LoginView, self).dispatch(request, *args, **kwargs)

stackoverflow.com/questions/33052063/django-csrf-v...

class UserCreate(View):
  @method_decorator(csrf_exempt)
  def dispatch(self, request, *args, **kwargs):
    return super(UserCreate, self).dispatch(request, *args, **kwargs)

  def post():
  ....