Как побороть «Referer checking failed» в Django 3?

Question

kAIST @kAIST

Как побороть «Referer checking failed» в Django 3?

На сайте реализовываю API, к которому обращается один из сервисов. Но он не отправляет referer.Сайт на https, и в django 3 ввели проверку referer при запросах. csrf_exempt не помогает.

class SomeView(APIView):
    permission_classes = (AllowAny,)
    def post(self,request):
        pass

Как можно это дело обойти?

Вопрос задан более трёх лет назад
461 просмотр

Комментировать

Подписаться 1 Средний Комментировать

Пригласить эксперта

Ответы на вопрос 2

5 комментариев

kAIST @kAIST Автор вопроса

Так откуда django узнает хост, если клиент его не дал?)

Написано более трёх лет назад
alternativshik @alternativshik

kAIST, Может, там проблема с CORS?

Написано более трёх лет назад
deepblack @deepblack

kAIST, тогда это проблемы клиента

Just debugged this for our mobile dev. The problem is, indeed that the client (in his case paw) sends the Cookie heather (which includes the CSRF token) but not a Referer. And this will be rejected by Django if the target URL is an https one. The solution is to either set a referer (It should be https and the same host and port as the API url you are testing) or to disable sending the cookies.

Отсюда

Написано более трёх лет назад
deepblack @deepblack

kAIST, как решили вопрос?

Написано более трёх лет назад
kAIST @kAIST Автор вопроса

Andrew D., на самом деле баг был со мной )
Долго копался в исходниках django (пошло на пользу), чего только не пробовал.
В итоге оказалось очень банально - у меня переклывались url'ы и request просто падал не в ту вьюху (((

Написано более трёх лет назад

3 комментария

kAIST @kAIST Автор вопроса

Вот что вываливается лог apache: Forbidden (Referer checking failed - no Referer.)
Вот собственно в исходниках django: https://github.com/django/django/blob/1c660d0de29f...

Написано более трёх лет назад
alternativshik @alternativshik

2020 год, апач? Серьезно? Полный трейс ошибки со стороны клиента дай.

Написано более трёх лет назад
kAIST @kAIST Автор вопроса

Apache, к сожалению, не мой выбор.

You are seeing this message because this HTTPS site requires a âReferer headerâ to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.

If you have configured your browser to disable âRefererâ headers, please re-enable them, at least for this site, or for HTTPS connections, or for âsame-originâ requests.

If you are using the tag or including the âReferrer-Policy: no-referrerâ header, please remove them. The CSRF protection requires the âRefererâ header to do strict referer checking. If youâre concerned about privacy, use alternatives like for links to third-party sites.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Django

Простой
Допустимо ли использовать при деплое встроенный сервер разработки Django в локальной сети?
- 1 подписчик
- 15 часов назад
- 48 просмотров
2

ответа
Django

Простой
Django Как сделать чтоб у TabularInline был вложенный TabularInline?
- 1 подписчик
- 22 часа назад
- 18 просмотров
0

ответов
Django

Простой
Django inlineformset_factory forms Error The view shop.views.view didn't return an HttpResponse object. It returned None instead?
- 1 подписчик
- 16 апр.
- 58 просмотров
1

ответ
Django

Средний
Как перейти на пользовательскую модель User в середине проекта?
- 1 подписчик
- 15 апр.
- 82 просмотра
1

ответ
Python

+2 ещё

Простой
Docker-compose не видит статические файлы Джанго, как исправить?
- 1 подписчик
- 11 апр.
- 139 просмотров
0

ответов
Django

Простой
Как при помощи формы поиска вывести в шаблоне количество слов из списка?
- 1 подписчик
- 10 апр.
- 47 просмотров
0

ответов
Django

Средний
Как в Django максимальные значения (срез последних) на выбранную дату?
- 1 подписчик
- 10 апр.
- 48 просмотров
0

ответов
Django

+1 ещё

Простой
Почему не работает проверка на пользователя django в fastapi?
- 1 подписчик
- 08 апр.
- 153 просмотра
2

ответа
Django

Простой
Как работает обработка запросов в django?
- 1 подписчик
- 08 апр.
- 56 просмотров
0

ответов
Django

+1 ещё

Простой
Как развернуть приложение на Django на сервере в локальной сети без доступа в интернет?
- 1 подписчик
- 07 апр.
- 116 просмотров
2

ответа
Показать ещё Загружается…

Python/Django-разработчик (mobile+AI)

4Taps AI • Тольятти

от 150 000 до 250 000 ₽

Python team lead

Uptrade

от 200 000 до 300 000 ₽

Python Team Lead

Asym Labs Limited

от 4 000 до 5 000 €

Помощь с парсингом XML файла яндекс товаров

19 апр. 2024, в 09:46

500 руб./за проект

Обработать массив фотографий

19 апр. 2024, в 08:46

5000 руб./за проект

Скрыть / убрать лишние поля в форме заказа

19 апр. 2024, в 07:30

1500 руб./в час

Answer 1 · 2020-05-20 10:59:48

deepblack @deepblack

CSRF_TRUSTED_ORIGINS

# settings.py
CSRF_TRUSTED_ORIGINS = ['api.yoursite.ru']

И полный трейсбек ошибки не помешал бы.

Ответ написан более трёх лет назад

5 комментариев

Answer 2 · 2020-05-20 10:59:15

alternativshik @alternativshik

Каким боком csrf_exempt к рефереру?

Точный и полный текст ошибки можно?

Ответ написан более трёх лет назад

3 комментария

Как побороть «Referer checking failed» в Django 3?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт