Python-сообщество

SoT · Июнь 19, 2013 20:07:46

Через поиск нашёл много похожих вопросов, читал документацию, но так и не понял как применить CSRF защиту.
В итоге при попытке логина выдаёт ошибку
Forbidden (403)

CSRF verification failed. Request aborted.

Вот классы из settings.py

MIDDLEWARE_CLASSES = (
    'django.middleware.common.CommonMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    # Uncomment the next line for simple clickjacking protection:
    # 'django.middleware.clickjacking.XFrameOptionsMiddleware',
)

Вот шаблон( в правильное ли место я добовляю csrf_token?

<html>
    <body>
        {% if request.user.is_authenticated %}
            {{request.user.username}}
        {% else %}
        <form method="POST" action="/prices/login/">{% csrf_token %}
            <table>
            
                <tr>
                    <td> Логин  </td>
                    <td><input type="text" name="login" /> </td>
                </tr>
                <tr>
                    <td> Пароль  </td>
                    <td><input type="password" name="password" /> </td>
                </tr>
            </table> 
        <input type="submit" value="Войти" />
        </form>
        {% endif %}
    </body>
</html>

А вот и сама функция БЕЗ попыток внести csrf

def login( request ) :
    if not request.user.is_authenticated() :
        try :
            login = request.POST['login']
            password = request.POST['password']
            user = auth.authenticate( username = login, password = password )
            if user and user.is_active :
                auth.login( request, user )
            else :
                HttpResponseRedirect ( '/prices/invalidlogin/' )
        except KeyError :
            pass           
    return render_to_response( u'login.html', locals() )

Можно ли как то внести переменную с csrf в функцию render_to_response

    c = {}
    c.update(csrf(request))

Что нужно сделать чтобы она передалась в locals() ?

JOHN_16 · Июнь 20, 2013 02:48:32

я бегло посмотрел, поэтому могу быть не прав, но что если банально:

c=locals()
c.update(csrf(request))
return render_to_response( u'login.html',  c )

_________________________________________________________________________________
полезный блог о python john16blog.blogspot.com

FishHook · Июнь 20, 2013 05:53:55

В render_to_response должен быть RequestContext

render_to_response( u'login.html', locals(), RequestContext(request) )

JOHN_16 · Июнь 20, 2013 07:48:05

FishHook
У меня , насколько я помню, во всех проектах успешно работает и без него.

def aw_login(request):
    args={}
    args.update(csrf(request))
     # code here
     return render_to_response('account_watcher_login.html', args)

_________________________________________________________________________________
полезный блог о python john16blog.blogspot.com

FishHook · Июнь 20, 2013 07:51:57

JOHN_16, потому что ты его явно руками в контекст подсовываешь, а в RequestContext он автоматически попадает.

mks · Июнь 20, 2013 15:28:39

Можно вместо render_to_response() использовать сокращённый вызов render()

SoT · Июнь 21, 2013 16:00:43

Спасибо, работают оба способа, и :

c=locals()
c.update(csrf(request))
return render_to_response( u'login.html',  c )

и

render_to_response( u'login.html', locals(), RequestContext(request) )

И спасибо за render()
Думаю тему можно закрывать.

Python-сообщество

Уведомления

#1 Июнь 19, 2013 20:07:46

CSRF token missing or incorrect

#2 Июнь 20, 2013 02:48:32

CSRF token missing or incorrect

#3 Июнь 20, 2013 05:53:55

CSRF token missing or incorrect

#4 Июнь 20, 2013 07:48:05

CSRF token missing or incorrect

#5 Июнь 20, 2013 07:51:57

CSRF token missing or incorrect

#6 Июнь 20, 2013 15:28:39

CSRF token missing or incorrect

#7 Июнь 21, 2013 16:00:43

CSRF token missing or incorrect

Board footer