Как отправлять post запросы на сабдомен?

Question

[vasia972]

Имеется проект с двумя сабдоменами: forum.site.com и games.site.com, при отправке ajax post запроса с одного сабдомена на другой сервер его отклоняет, так как csrf и sessionid токен из cookies не отправляется. Внутри одного домена код работает исправно.

На сабдоменах есть полезные для меня утилиты, я хотел бы ими пользоваться не дублируя urls, если это невозможно, то подскажите верную архитектуру

settings.py

SESSION_COOKIE_DOMAIN = 'site.com'
CSRF_COOKIE_DOMAIN = 'site.com'
CSRF_COOKIE_NAME = 'csrftoken'
CSRF_TRUSTED_ORIGINS = ['games.site.com', 'forum.site.com']

MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware',
    'corsheaders.middleware.CorsPostCsrfMiddleware',
    ...,
    ...,
]

Answer 1

[Decadal]

вы точно пробовали гуглить?
копайте в сторону Access-Control-Allow-Origin - этот заголовок должен возвращать сервер, к которому идет обращение через аякс. Значением заголовка должен быть source или * - допустимые источники, из которых можно делать запрос

Comments

[vasia972]

Заголовок приходит в OPTIONS запросе, на него есть ответ. В следующем за ним post запросе не вставляются куки

[Decadal]

vasia972, так вы приведите это в вопросе. Можете скинуть заголовки ответа OPTIONS?
И имена cookies которые садятся в ответе

[vasia972]

Имена cookies в ответе на OPTIONS? Завтра я обязательно скину!

[vasia972]

OPTIONS:
REQUEST

Accept: text/html,application/xhtml+xm…plication/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Access-Control-Request-Headers: x-csrftoken
Access-Control-Request-Method: POST
Connection: keep-alive
Host: forum.site.com
Origin: https://games.site.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64…) Gecko/20100101 Firefox/58.0

RESPONSE

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: accept, accept-encoding, authorization, content-type, dnt, origin, user-agent, x-csrftoken, x-requested-with
Access-Control-Allow-Methods: DELETE, GET, OPTIONS, PATCH, POST, PUT
Access-Control-Allow-Origin: https://games.site.com
Access-Control-Max-Age: 86400
Connection: keep-alive
Content-Length: 0
Content-Type: text/html; charset=utf-8
Date: Thu, 11 Oct 2018 06:09:05 GMT
Keep-Alive: timeout=20
Server: nginx
Vary: Origin

Cookies с ним не приходят. За ним уходит post запрос со следующими заголовками:

POST

Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate, br
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Content-Length: 64
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Host: forum.site.com
Origin: https://games.site.com
Referer: https://games.site.com/ru/
User-Agent: Mozilla/5.0 (X11; Linux x86_64…) Gecko/20100101 Firefox/58.0
X-CSRFToken: oXa6EZOef3ZfUl5eVPLufryLlE4VIz…27Cy7mKjhgqsjpdXC7s5gZvLwcyOv

запрос уходит без cookies, возвращается уже 403 с "Ошибка проверки CSRF. Запрос отклонён.", в ответе лежит cookies sessionid

[Decadal]

собственно csrf вы должны были получить до того как отправить пост-запрос

вероятное решение - отключите для этого запроса сsrf валидацию

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def my_view(request):
    return HttpResponse('Hello world')

вам подходит такое?

[vasia972]

Decadal, Нет, потому что это внесение данных пользователя в базу, или авторизация.

В cookies хранится токен и sessionid, но браузер их не отправляет.

[Decadal]

vasia972, покажите domain, который выставлен в куках.

[vasia972]

Decadal, .site.com и на csrftoken и на sessionid

[Decadal]

vasia972, приведите код которым вы делаете пост запрос

[vasia972]

Decadal, не самый локаничный код, прошу прощения

function() {
    $.ajax({
        method: "POST",
        url: login_url,
        dataType: 'json',
        data: $form.serialize(),
        beforeSend: function(xhr, settings) {
            xhr.withCredentials = true;
            xhr.setRequestHeader("X-CSRFToken", csrftoken1);
        },
        success: function(data) {
            hideErrors();
            $all_errors.addClass('hide');
            location.reload()
        },
    });
}

[Decadal]

vasia972,
это должно помочь:

function() {
    $.ajax({
        method: "POST",
        url: login_url,
        xhrFields: { withCredentials: true },
        dataType: 'json',
        data: $form.serialize(),
        beforeSend: function(xhr, settings) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken1);
        },
        success: function(data) {
            hideErrors();
            $all_errors.addClass('hide');
            location.reload()
        },
    });
}

[vasia972]

Decadal, Действительно, спасибо огромное!

[vasia972]

Decadal, Подскажите еще пожалуйста, что может быть не так в таком запросе?

function() {
    let file = $('#id')[0].files[0];
    let xhr = new XMLHttpRequest();
    xhr.xhrFields = {
        withCredentials: true
    };

    let fd = new FormData();

    fd.append('csrfmiddlewaretoken', $('[name=csrfmiddlewaretoken]').val());
    fd.append('image', file);

    xhr.open('post', location.protocol + _img_upload_url, true);
    xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));

    xhr.send(fd);
}

Возвращает код 403, тело ответа пустое,
заголовки запроса:

Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Content-Length: 835763
Content-Type: multipart/form-data; boundary=…--212700736647785187243382243
Host: games.site.com
Origin: http://forum.site.com
Referer: http://forum.site.com/member/profile/edit/
User-Agent: Mozilla/5.0 (X11; Linux x86_64…) Gecko/20100101 Firefox/58.0
X-CSRFToken: k52Tj9nl1TtVNqM5YhSnTMiluPPKCz…X7DaIu2Y5ncZxpRqi9kOTf0mmowxz

заголовки ответа:

Access-Control-Allow-Credentials:  true
Access-Control-Allow-Origin: http://forum.site.com
Connection: keep-alive
Content-Encoding: gzip
Content-Language: ru
Content-Type: text/html; charset=utf-8
Date: Thu, 11 Oct 2018 14:40:58 GMT
Keep-Alive: timeout=20
Server: nginx
Set-Cookie: sessionid=18r19j719iihmecjg0qf…Only; Max-Age=1209600; Path=/
Transfer-Encoding: chunked
Vary: Cookie, Origin
X-Frame-Options: SAMEORIGIN

[Decadal]

vasia972, отвечу через 2 часа

[vasia972]

На продакшн сервере ответа вообще нет, nginx логгирует следующее

2018/10/11 17:57:49
 [error] 8165#8165: *977 readv() failed (104: Connection reset by peer) while reading upstream,
 client: xx.xx.xx.xx,
 server: games.site.com,
 request: "POST /ru/tis/upload HTTP/1.0",
 upstream: "uwsgi://127.0.0.1:9999",
 host: "games.site.com",
 referrer: "https://forum.site.com/member/profile/edit/"

[Decadal]

vasia972, https://developer.mozilla.org/ru/docs/Web/API/XMLH...

[Decadal]

vasia972, у вас логика программиста но интуиция какая-то сломанная)

[vasia972]

Decadal, ну хоть с логикой повезло)
Я так понял allowCredentials не нужен, потому что куки в ответе не ожидаются/не интересуют нас? И я так понял все равно 403 придёт

[Decadal]

vasia972, куки в ответе не ожидаются потому что кто их вам там будет сеттить, этот процесс должен был быть произведен при авторизации.
А вот 403 придет если сервер не увидит куков по которым сможет идентифицировать клиента.
Поэтому замените эту дичь:
xhr.xhrFields = {
withCredentials: true
};
На xhr.withCredentials=true; и пробуйте

[vasia972]

Decadal, Да, все работает)) Спасибо огромное!