DjangoのCSRF検証を無効にする方法は？

私はcsrfプロセッサとミドルウェアの行をコメントアウトしましたsettings.py：

122 
123 TEMPLATE_CONTEXT_PROCESSORS = (
124     'django.contrib.auth.context_processors.auth',
125 #    'django.core.context_processors.csrf',
126     'django.core.context_processors.request',
127     'django.core.context_processors.static',
128     'cyathea.processors.static',
129 )
130 
131 MIDDLEWARE_CLASSES = (
132     'django.middleware.common.CommonMiddleware',
133     'django.contrib.sessions.middleware.SessionMiddleware',
134 #    'django.middleware.csrf.CsrfViewMiddleware',
135     'django.contrib.auth.middleware.AuthenticationMiddleware',
136     'django.contrib.messages.middleware.MessageMiddleware',
137     'django.middleware.locale.LocaleMiddleware',
138     # Uncomment the next line for simple clickjacking protection:
139     # 'django.middleware.clickjacking.XFrameOptionsMiddleware',
140 )

しかし、Ajaxを使用してリクエストを送信しても、Djangoは「csrfトークンが正しくないか欠落しています」と応答し、ヘッダーにX-CSRFTokenを追加した後、リクエストは成功します。

ここで何が起こっているのですか？

CSRFを使用しないビューがいくつか必要な場合は、次を使用できます@csrf_exempt。

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def my_view(request):
    return HttpResponse('Hello world')

Djangoのドキュメントで、その他の例やシナリオを見つけることができます。

• https://docs.djangoproject.com/en/dev/ref/csrf/#edge-cases

クラスベースのビューのCSRFを無効にするには、次の方法でうまくいきました。
django 1.10とpython 3.5.2を使用する

from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator

@method_decorator(csrf_exempt, name='dispatch')
class TestView(View):
    def post(self, request, *args, **kwargs):
        return HttpResponse('Hello world')

setting.pyMIDDLEWARE では、次の行を削除またはコメント化できます。

'django.middleware.csrf.CsrfViewMiddleware',

以下のためのジャンゴ2：

from django.utils.deprecation import MiddlewareMixin


class DisableCSRF(MiddlewareMixin):
    def process_request(self, request):
        setattr(request, '_dont_enforce_csrf_checks', True)

そのミドルウェアは、必要settings.MIDDLEWAREに応じて（たとえば、テスト設定で）追加する必要があります。

注：この設定は呼び出されMIDDLEWARE_CLASSESなくなりました。

答えは不適切かもしれませんが、あなたに役立つことを願っています

class DisableCSRFOnDebug(object):
    def process_request(self, request):
        if settings.DEBUG:
            setattr(request, '_dont_enforce_csrf_checks', True)

このようなミドルウェアがあると、リクエストをデバッグし、本番サーバーでcsrfをチェックするのに役立ちます。

ここでの問題は、SessionAuthenticationが独自のCSRF検証を実行することです。そのため、CSRFミドルウェアがコメント化されている場合でも、CSRF不足エラーが発生します。@csrf_exemptをすべてのビューに追加することもできますが、CSRFを無効にしてアプリ全体のセッション認証を取得したい場合は、次のようなミドルウェアを追加できます-

class DisableCSRFMiddleware(object):

def __init__(self, get_response):
    self.get_response = get_response

def __call__(self, request):
    setattr(request, '_dont_enforce_csrf_checks', True)
    response = self.get_response(request)
    return response

このクラスをmyapp / middle.pyに作成し、このミドルウェアをミドルウェアのsettings.pyにインポートします

MIDDLEWARE = [
    'django.middleware.common.CommonMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    #'django.middleware.csrf.CsrfViewMiddleware',
    'myapp.middle.DisableCSRFMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',

]

それはdjango 1.11のDRFで動作します

グローバルで無効にしたい場合は、次のようにカスタムミドルウェアを作成できます。

from django.utils.deprecation import MiddlewareMixin

class DisableCsrfCheck(MiddlewareMixin):

    def process_request(self, req):
        attr = '_dont_enforce_csrf_checks'
        if not getattr(req, attr, False):
            setattr(req, attr, True)

次に、このクラスyouappname.middlewarefilename.DisableCsrfCheckをMIDDLEWARE_CLASSESリストに追加してから、django.middleware.csrf.CsrfViewMiddleware

CSRFはビューレベルで適用できますが、グローバルに無効にすることはできません。

場合によっては、これは面倒なことですが、「セキュリティのため」です。これらのAAAレーティングを維持する必要があります。

https://docs.djangoproject.com/en/dev/ref/csrf/#contrib-and-reusable-apps

@WoooHaaaa一部のサードパーティパッケージでは、「django.middleware.csrf.CsrfViewMiddleware」ミドルウェアを使用しています。たとえば、私はdjango-rest-oauthを使用していますが、それらを無効にしても問題が発生します。認証デコレータなどを使用しているため、これらのパッケージが私のケースのようにリクエストに応答した可能性があります。