Django: post-запрос и проблема с CSRF

Question

[Евгений Елизаров]

Всем привет. Только начинаю постигать django и вот споткнулся о такую вещь. Нарисовал в шаблоне простую формочку, отправляю её и получаю

CSRF verification failed. Request aborted.

иду в предлагаемый ман, пробую все 5 предложенные методов, и ни один не помогает. что я делаю не так?

при помощи barker вопрос решён, нужно было использовать render() вместо render_to_response()

Answer 1

[barker]

Не нужно никаких 5 методов. Надо только включить соответствующий middleware и вставить csrf_token в шаблоне.

Comments

[Евгений Елизаров]

Соответствующий это «django.middleware.csrf.CsrfViewMiddleware»? Включал, csrf_token в шаблоне включал, толку 0

[barker]

А остальное всё убрать: @csrf_protect, c.update(csrf(request)) итд (если не руками, конечно, собираете контекст итд).

[Евгений Елизаров]

Ну да, я собственно и начал только с csrf_token, а уже только потом стал пробовать остальные методы.

[barker]

1. Значение MIDDLEWARE_CLASSES в студию.
2. В форме {% csrf_token %} срабатывает? Рисует скрытый инпут?

[Евгений Елизаров]

1. Ниже
2. Нет, не рисует, в том и проблема, не пойму чего не хватает.

[barker]

2. Так как минимум в этом проблема. Покажите вьюшку которой форма генерится? Точно через RequestContext идёт?

[Евгений Елизаров]

Проблема в этом, вопрос в чём именно?
А нужен именно RequestContext? Тогда в это беда, я всё делаю при помощи render_to_response

def login(request):
    ...
    return render_to_response('login.html', locals())

[barker]

Да, именно в этом и беда 100%. Забудьте вы этот render_to_response, используйте всегда render.

[Евгений Елизаров]

Да, при помощи render() всё заработало, огромное спасибо!

[Mikhail Priver]

locals()

Какой ужас. Explicit is better than implicit.
(хотя это к делу не относится, конечно же)

Answer 2

[Mikhail Priver]

Должно без всяких ухищрений работать. Если используете стандартный шаблон приложения, от вас требуется только вставить {% csrf_token %} внутрь формы.

Сам механизм в простом случае (без Ajax'а) работает так:
1. Django устанавливает cookie csrftoken=CSRF-токен
2. Вместо template_tag'а {% csrf_token %} Django вставляет:

<input type="hidden" name="csrfmiddlewaretoken" value="CSRF-токен">

3. При сабмите формы, cookie и CSRF-токен уходит обратно к Django вместе с остальными полями формы.
4. Django сверяет токен из cookie и из POST.

Answer 3

[merlin-vrn]

Посмотрите на шаблон свой, пожалуйста. Сравните с HTML-кодом, который сгенерировался по этому шаблону. Проверьте: что в HTML-ке на месте {% csrf_token %} из шаблона? (Должен быть input type=hidden name=csrfmiddlewaretoken). А отправляется ли это поле на сервер вместе с формой, т.е. находится ли {% csrf_token %} внутри <form>...</form>? Перехватите HTTP и проверьте (можно скажем firebugом посмотреть, что отправляется).

Comments

[Евгений Елизаров]

Должен быть input type=hidden

как я уже ответил выше — не генерируется этот инпут при помощи {% csrf_token %} из шаблона

[merlin-vrn]

Забыл упомянуть: отправляться должно одновременно куки и поле формы. Вот их содержимое и должно совпадать для того, чтобы middleware вас пропустило.

[merlin-vrn]

Нет инпута? А вы рендерите шаблон с помощью render_to_response? Тогда передавайте ему RequestContext. А проще — сразу рендерить с помощью django.shortcuts.render, куда первым параметром идёт request, потом шаблон и третий необязательный — dict с данными шаблона.

Answer 4

[alz]

{% csrf_token %} в шаблоне использовали?

Comments

[Евгений Елизаров]

Ну да, я же сказал — попробовал все методы, предложенные в мане.

Answer 5

[kenny_opennix]

какие middleware подключены?

Comments

[Евгений Елизаров]

MIDDLEWARE_CLASSES = (
    'django.middleware.common.CommonMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
)

[kenny_opennix]

django.middleware.csrf.CsrfResponseMiddleware

[Евгений Елизаров]

ImproperlyConfigured: Middleware module «django.middleware.csrf» does not define a «CsrfResponseMiddleware» class

[merlin-vrn]

Версия джанги какая у вас?

[kenny_opennix]

видимо у тс 1.5.
Используете RequestContext?

[Евгений Елизаров]

1.4.8

Answer 6

[navisr]

Кому нужен разжеванный ответ с примерами: https://bovs.org/post/179/Zasita-ot-CSRF-v-Django-...