Django Rest Framework csrf'yi kaldır

Django Rest Framework ile ilgili cevaplar olduğunu biliyorum, ancak sorunuma bir çözüm bulamadım.

Kimlik doğrulaması ve bazı işlevleri olan bir uygulamam var. Ona Django Rest Framework kullanan yeni bir uygulama ekledim. Kitaplığı yalnızca bu uygulamada kullanmak istiyorum. Ayrıca POST isteğinde bulunmak istiyorum ve her zaman şu yanıtı alıyorum:

{
    "detail": "CSRF Failed: CSRF token missing or incorrect."
}

Takip koduna sahibim:

# urls.py
from django.conf.urls import patterns, url


urlpatterns = patterns(
    'api.views',
    url(r'^object/$', views.Object.as_view()),
)

# views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from django.views.decorators.csrf import csrf_exempt


class Object(APIView):

    @csrf_exempt
    def post(self, request, format=None):
        return Response({'received data': request.data})

Mevcut uygulamayı etkilemeden API eklemek istiyorum. Öyleyse sorularım, CSRF'yi yalnızca bu uygulama için nasıl devre dışı bırakabilirim?

Bu hata neden oluyor?

Bu, SessionAuthenticationDRF tarafından kullanılan varsayılan şema nedeniyle oluyor . DRF'ler SessionAuthentication, CSRF'nin kontrol edilmesini gerektiren kimlik doğrulama için Django'nun oturum çerçevesini kullanır.

authentication_classesGörünüm / görünüm kümenizde herhangi bir tanımlamadığınız zaman , DRF bu kimlik doğrulama sınıflarını varsayılan olarak kullanır.

'DEFAULT_AUTHENTICATION_CLASSES'= (
    'rest_framework.authentication.SessionAuthentication',
    'rest_framework.authentication.BasicAuthentication'
),

DRF'nin aynı görünümler için hem oturum hem de oturum tabanlı olmayan kimlik doğrulamasını desteklemesi gerektiğinden, yalnızca kimliği doğrulanmış kullanıcılar için CSRF kontrolünü zorunlu kılar. Bu, yalnızca kimliği doğrulanmış isteklerin CSRF belirteçleri gerektirdiği ve anonim isteklerin CSRF belirteçleri olmadan gönderilebileceği anlamına gelir.

SessionAuthentication ile AJAX tarzı bir API kullanıyorsanız, PUT, PATCH, POST or DELETEistekler gibi "güvenli olmayan" HTTP yöntem çağrıları için geçerli bir CSRF belirteci eklemeniz gerekir .

O zaman ne yapmalı?

Şimdi csrf kontrolünü devre dışı bırakmak CsrfExemptSessionAuthenticationiçin, varsayılan SessionAuthenticationsınıftan genişleyen özel bir kimlik doğrulama sınıfı oluşturabilirsiniz . Bu kimlik doğrulama sınıfında, enforce_csrf()gerçek içinde gerçekleşen denetimi geçersiz kılacağız SessionAuthentication.

from rest_framework.authentication import SessionAuthentication, BasicAuthentication 

class CsrfExemptSessionAuthentication(SessionAuthentication):

    def enforce_csrf(self, request):
        return  # To not perform the csrf check previously happening

Sizin görüşünüzde, şu şekilde tanımlayabilirsiniz authentication_classes:

authentication_classes = (CsrfExemptSessionAuthentication, BasicAuthentication)

Bu, csrf hatasını ele almalıdır.

Daha kolay çözüm:

Views.py içinde, CsrfExemptMixin ve authentication_classes parantezlerini kullanın:

# views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from django.views.decorators.csrf import csrf_exempt
from braces.views import CsrfExemptMixin


class Object(CsrfExemptMixin, APIView):
    authentication_classes = []

    def post(self, request, format=None):
        return Response({'received data': request.data})

Urls.py'yi değiştirin

Rotalarınızı urls.py'de yönetiyorsanız, istediğiniz rotaları CSRF doğrulama ara yazılımından hariç tutmak için csrf_exempt () ile sarmalayabilirsiniz.

from django.conf.urls import patterns, url
    from django.views.decorators.csrf import csrf_exempt
    import views

urlpatterns = patterns('',
    url(r'^object/$', csrf_exempt(views.ObjectView.as_view())),
    ...
)

Alternatif olarak, bir Dekoratör olarak Bazıları @csrf_exempt dekoratörün kullanımını ihtiyaçları için daha uygun bulabilir.

Örneğin,

from django.views.decorators.csrf import csrf_exempt
from django.http import HttpResponse

@csrf_exempt
def my_view(request):
    return HttpResponse('Hello world')

İş Bitti'yi almalısınız!

Yararlı bir cevap bulamayanlar için. Evet DRF SessionAuthentication, KİMLİK DOĞRULAMA SINIFI kullanmıyorsanız CSRF korumasını otomatik olarak kaldırır , örneğin, birçok geliştirici yalnızca JWT kullanır:

'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
    ),

Ancak sorun CSRF not setbaşka bir nedenden kaynaklanıyor olabilir, örneğin, görüntünüze doğru yolu eklememişsinizdir:

url(r'^api/signup/', CreateUserView),  # <= error! DRF cant remove CSRF because it is not as_view that does it!

onun yerine

url(r'^api/signup/', CreateUserView.as_view()),

Yukarıdaki cevaplardan birkaçını denedim ve ayrı bir sınıf oluşturmanın biraz abartılı olduğunu hissettim.

Referans olarak, işlev tabanlı bir görünüm yöntemini kullanıcı kaydı için sınıf tabanlı bir görünüm yöntemine güncellemeye çalışırken bu sorunla karşılaştım.

Sınıf tabanlı görünümleri (CBV'ler) ve Django Rest Çerçevesini (DRF) kullanırken, ApiView sınıfından devralın ve izin_ sınıfları ile kimlik doğrulama_ sınıflarını boş bir demete ayarlayın. Aşağıda bir örnek bulun.

class UserRegistrationView(APIView):

    permission_classes = ()
    authentication_classes = ()

    def post(self, request, *args, **kwargs):

        # rest of your code here

Oturum tabanlı kimlik doğrulamasını kullanmak istemiyorsanız Session Authentication, REST_AUTHENTICATION_CLASSES öğesinden kaldırabilirsiniz ve bu, tüm csrf tabanlı sorunları otomatik olarak kaldırır. Ancak bu durumda, Browseable api'ler çalışmayabilir.

Ayrıca bu hata oturum kimlik doğrulamasında bile gelmemelidir. API'leriniz için TokenAuthentication gibi özel kimlik doğrulaması kullanmalı ve kimlik doğrulama belirteci ile birlikte isteklerinizde Accept:application/jsonve Content-Type:application/json(json kullanıyorsanız) gönderdiğinizden emin olmalısınız .

Varsayılan oturum kimlik doğrulamasını önlemek için bunu eklemeniz gerekir: (settings.py)

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.TokenAuthentication',
    ),
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated', 
    )
}

Ardından: (views.py)

from rest_framework.permissions import AllowAny

class Abc(APIView):
    permission_classes = (AllowAny,)

    def ...():

Ben de aynı sorunla karşılaştım. Bu referansı takip ettim ve işe yaradı. Çözüm, bir ara yazılım oluşturmaktır

Uygulamalarınızdan birine disable.py dosyası ekleyin (benim durumumda bu 'uygulamam')

class DisableCSRF(object):
    def process_request(self, request):
        setattr(request, '_dont_enforce_csrf_checks', True)

Middileware'i MIDDLEWARE_CLASSES'e ekleyin

MIDDLEWARE_CLASSES = (
myapp.disable.DisableCSRF,
)

Uygulamanız için özel bir sanal ortam kullanıyorsanız, aşağıdaki yaklaşımı başka hiçbir uygulamada etkili olmadan kullanabilirsiniz.

Gözlemlediğiniz şey , sınıf yönteminde rest_framework/authentication.pybu koda sahip olduğu için olur :authenticateSessionAuthentication

self.enforce_csrf(request)

CSRF kontrollerini istemiyorsanız , Requestsınıfı bir özelliğe sahip olacak şekilde değiştirebilir ve csrf_exemptilgili View sınıfınız içinde başlatabilirsiniz True. Örneğin:

Ardından, yukarıdaki kodu aşağıdaki gibi değiştirin:

if not request.csrf_exempt:
    self.enforce_csrf(request)

RequestSınıfta yapmanız gereken bazı ilgili değişiklikler var . Tam bir uygulama burada (tam açıklama ile) mevcuttur: https://github.com/piaxis/django-rest-framework/commit/1bdb872bac5345202e2f58728d0e7fad70dfd7ed

Çözümüm darbe gösteriliyor. Sadece sınıfımı dekore et.

from django.views.decorators.csrf import csrf_exempt
@method_decorator(csrf_exempt, name='dispatch')
@method_decorator(basic_auth_required(
    target_test=lambda request: not request.user.is_authenticated
), name='dispatch')
class GenPedigreeView(View):
    pass

REST API POST'larını kullanırken, X-CSRFToken istek başlığının olmaması bu hataya neden olabilir. Django belgeleri , JS'den CSRF belirteç değerini alma ve ayarlama konusunda örnek bir kod sağlar.

Yukarıdaki yanıtlarda belirtildiği gibi, CSRF kontrolü SessionAuthentication kullanıldığında gerçekleşir. Diğer bir yaklaşım TokenAuthentication kullanmaktır, ancak REST_FRAMEWORK ayarının DEFAULT_AUTHENTICATION_CLASSES listesinde ilk sıraya yerleştirilmesi gerektiğini unutmayın.

Bu, DNS Yeniden Bağlama saldırısı sırasında da bir sorun olabilir .

DNS değişiklikleri arasında bu da bir faktör olabilir. DNS'nin tamamen temizlenmesini beklemek, DNS sorunları / değişikliklerinden önce çalışıyorsa sorunu çözecektir.