Как побороть «Referer checking failed» в Django 3?

Question

kAIST @kAIST

Как побороть «Referer checking failed» в Django 3?

На сайте реализовываю API, к которому обращается один из сервисов. Но он не отправляет referer.Сайт на https, и в django 3 ввели проверку referer при запросах. csrf_exempt не помогает.

class SomeView(APIView):
    permission_classes = (AllowAny,)
    def post(self,request):
        pass

Как можно это дело обойти?

Вопрос задан более трёх лет назад
545 просмотров

Комментировать

Подписаться 1 Средний Комментировать

Пригласить эксперта

Ответы на вопрос 2

5 комментариев

kAIST @kAIST Автор вопроса

Так откуда django узнает хост, если клиент его не дал?)

Написано более трёх лет назад
alternativshik @alternativshik

kAIST, Может, там проблема с CORS?

Написано более трёх лет назад
deepblack @deepblack Куратор тега Django

kAIST, тогда это проблемы клиента

Just debugged this for our mobile dev. The problem is, indeed that the client (in his case paw) sends the Cookie heather (which includes the CSRF token) but not a Referer. And this will be rejected by Django if the target URL is an https one. The solution is to either set a referer (It should be https and the same host and port as the API url you are testing) or to disable sending the cookies.

Отсюда

Написано более трёх лет назад
deepblack @deepblack Куратор тега Django

kAIST, как решили вопрос?

Написано более трёх лет назад
kAIST @kAIST Автор вопроса

Andrew D., на самом деле баг был со мной )
Долго копался в исходниках django (пошло на пользу), чего только не пробовал.
В итоге оказалось очень банально - у меня переклывались url'ы и request просто падал не в ту вьюху (((

Написано более трёх лет назад

3 комментария

kAIST @kAIST Автор вопроса

Вот что вываливается лог apache: Forbidden (Referer checking failed - no Referer.)
Вот собственно в исходниках django: https://github.com/django/django/blob/1c660d0de29f...

Написано более трёх лет назад
alternativshik @alternativshik

2020 год, апач? Серьезно? Полный трейс ошибки со стороны клиента дай.

Написано более трёх лет назад
kAIST @kAIST Автор вопроса

Apache, к сожалению, не мой выбор.

You are seeing this message because this HTTPS site requires a âReferer headerâ to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.

If you have configured your browser to disable âRefererâ headers, please re-enable them, at least for this site, or for HTTPS connections, or for âsame-originâ requests.

If you are using the tag or including the âReferrer-Policy: no-referrerâ header, please remove them. The CSRF protection requires the âRefererâ header to do strict referer checking. If youâre concerned about privacy, use alternatives like for links to third-party sites.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Django

Простой
Как правильно организовать urls.py для разнх городов?
- 1 подписчик
- 09 нояб.
- 62 просмотра
1

ответ
Django

Простой
Ошибка при запуске сервера Django. Что делать?
- 1 подписчик
- 09 нояб.
- 67 просмотров
1

ответ
Django

Простой
Как правильно вывести ссылку на видео из базы?
- 1 подписчик
- 08 нояб.
- 47 просмотров
0

ответов
Django

Простой
Как установить cookie и сразу совершить редирект?
- 1 подписчик
- 07 нояб.
- 66 просмотров
2

ответа
Django

Простой
Почему GeoDjango не видит установленный модуль gdal?
- 1 подписчик
- 03 нояб.
- 48 просмотров
0

ответов
Django

+1 ещё

Простой
Django приложение как rest-клиент, где получить и сохранить токен?
- 2 подписчика
- 30 окт.
- 133 просмотра
1

ответ
Django

Средний
Почему не работает JS в Django проекте?
- 1 подписчик
- 25 окт.
- 97 просмотров
0

ответов
Django

Простой
Почему не фильтрует и открывает видео?
- 1 подписчик
- 24 окт.
- 41 просмотр
0

ответов
Django

+2 ещё

Простой
Проблема с реализацией функционала, для отслеживания изменения статуса пользователя в базе данных. Как корректно реализовать эту задачу?
- 1 подписчик
- 21 окт.
- 216 просмотров
2

ответа
Django

Простой
Как добавить в админку динамически созданные таблицы?
- 1 подписчик
- 16 окт.
- 97 просмотров
1

ответ
Показать ещё Загружается…

Python разработчик Senior/Lead (Django, DRF)

Hello, Doc!

от 300 000 до 400 000 ₽

Преподаватель Python с навыками Django для подростков

CODDY

от 40 000 до 80 000 ₽

Тестировщик (автоматизированное тестирование)

ФРИИ • Москва

от 130 000 ₽

Правки Wordpress сайта на WP-Recall

15 нояб. 2024, в 23:33

20000 руб./за проект

CMS Bitrix на сайте решить проблему с ошибкой 404

15 нояб. 2024, в 23:11

1000 руб./за проект

Обработка альбомов с одеждой

15 нояб. 2024, в 23:07

8000 руб./за проект

Answer 1 · 2020-05-20 10:59:48

deepblack @deepblack Куратор тега Django

CSRF_TRUSTED_ORIGINS

# settings.py
CSRF_TRUSTED_ORIGINS = ['api.yoursite.ru']

И полный трейсбек ошибки не помешал бы.

Ответ написан более трёх лет назад

5 комментариев

Answer 2 · 2020-05-20 10:59:15

alternativshik @alternativshik

Каким боком csrf_exempt к рефереру?

Точный и полный текст ошибки можно?

Ответ написан более трёх лет назад

3 комментария

Как побороть «Referer checking failed» в Django 3?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт