Отключить CSRF для одного POST-запроса?

Question

[Владимир Куц]

Есть некий АПИ-запрос, на который делает запрос некий сторонний сайт с некими параметрами, и после этого мне нужно сделать редирект на определенную страницу своего сайта.

from rest_framework.generics import GenericAPIView
from serializers import AddSomethingSerializer

class AddingSomething(GenericAPIView):
    permission_classes = (permissions.AllowAny, )
    serializer_class = AddSomethingSerializer
    queryset = None

    def post(self, request, **kwargs):
         # .. Some magic ..
         return HttpResponseRedirect(redirect_to=reverse('something_added'))

Все хорошо, но при редиректе со стороннего сайта возникает исключение:

"detail": "CSRF Failed: CSRF token missing or incorrect."

Как мне отключить проверку CSRF только для данного АПИ, а для других АПИ оставить в силе?

Пробовал

@method_decorator(csrf_exempt)
def post(self, request, **kwargs)

- не помогло

@method_decorator(csrf_exempt, name='dispatch')
class AddingSomething(GenericAPIView):

- не помогло

from django.views.decorators.csrf import csrf_exempt
from views import AddingSomething

urlpatterns = [
    url('^add_something/$', csrf_exempt(AddingSomething.as_view()), name='api-add-something'),
    ...

- не помогло

Вариант отключить полностью в authentication_classes - не подходит

Comments

[javedimka]

Ну, если погуглить, то можно найти похожую проблему где никакие декораторы не работают и суть этой проблемы была в использовании SessionAuthentication backend который внутри себя делает проверку токена.

[Владимир Куц]

javedimka, по всей видимости так и есть - "Current implementation of SessionAuthentication assums that CSRF context-less check (without view handler context) is always fired - regardles the fact that csrf_exempt was used to decorate view."
Спасибо за наводку

[javedimka]

Владимир Куц, не, ну там ещё решения были, я просто не стал копировать

Answer 1

[Александр Брагин]

Drf при использовании SessionAuthentication принудительно делает проверку на наличие валидного CSRF токена для небезопасных методов запроса. Декораторы csrf_exempt работать не будут с SessionAuthentication.

Вариант решения вам, в принципе, уже скидывали ссылками на SO.

from rest_framework.authentication import SessionAuthentication


class CsrfExemptSessionAuthentication(SessionAuthentication):
    def enforce_csrf(self, request):
        return None


class AddingSomething(GenericAPIView):
    permission_classes = (permissions.AllowAny, )
    serializer_class = AddSomethingSerializer
    authentication_classes = (CsrfExemptSessionAuthentication,)
    queryset = None

    def post(self, request, **kwargs):
         # .. Some magic ..
         return HttpResponseRedirect(redirect_to=reverse('something_added'))

Comments

[Владимир Куц]

Оно - спасибо!

Answer 2

[Astrohas]

https://stackoverflow.com/a/30875830

Comments

[Владимир Куц]

Пробовал такую вариацию:

@method_decorator(csrf_exempt, name='dispatch')
class AddingSomething(GenericAPIView):

- не помогло

[Владимир Куц]

urls.py:

from django.views.decorators.csrf import csrf_exempt
from views import AddingSomething

urlpatterns = [
    url('^add_something/$', csrf_exempt(AddingSomething.as_view()), name='api-add-something'),

....

- не помогло

[Astrohas]

Владимир Куц, это стандартный сервер разработки django ?

[Владимир Куц]

Astrohas, да. Используются Generic views от REST Framework

[Astrohas]

Владимир Куц, перейдите по ссылке в ответе. Там наиболее вероятное решение проблемы

Answer 3

[Alexander]

Попробуй https://stackoverflow.com/questions/16458166/how-t...
https://stackoverflow.com/questions/30871033/djang...

Comments

[Владимир Куц]

Я перед эти смотрел эти ссылки, но там либо отключают CSRF целиком, либо используют csrf_exempt, который почему-то в моем случае не отрабатывает. Миксин CsrfExemptMixin тоже не помогает.