转载自: python-requests和django-CSRF验证失败。请求中止 - IT宝库 (itbaoku.cn)
python-requests和django-CSRF验证失败。请求中止的处理方法
问题描述
我有一个用于上传文件的Django服务器,当我使用浏览器时,我可以上传文件而没有问题.
但是,如果我使用python-requrequests命令,它告诉我CSRF验证失败了.要求中止. python-requredquests代码如下:
# upload via HTTP
file = {"docfile": open(fullfilename, "rb")}
s = requests.Session()
r = s.get(dhost)
r = s.post(dhost, files=file)
如果执行代码,则获得代码403,并且错误CSRF验证失败.要求中止.失败的原因:
CSRF令牌缺失或不正确.
但是,如果我在发送的标题中查看,我有cookie集:
CaseInsensitiveDict({'Content-Length': u'84169',
'Accept-Encoding': 'gzip, deflate, compress',
'Accept': '*/*',
'User-Agent': 'python-requests/2.0.1 CPython/2.7.3 Linux/3.6.11+',
'Cookie': 'csrftoken=GOOIsG89i5oMCJO6594algTXooxoUeoL',
'Content-Type': 'multipart/form-data; boundary=86ada00b4f6c41d5997293cce7a53b6b'})
您能告诉我我该怎么做才能使它工作?
推荐答案
实际上一切正常,您只需要了解CSRF的工作原理即可.当您将页面加载到浏览器中时,您会在{% csrf_token %}内部获得CSRF令牌,因此,当将数据发送到服务器时,也沿CSRF令牌发送.
当您使用请求时,您将在"获取"部分中获取cookie,但是您并未将其与"帖子"一起发送.没有它,您只是发送一个没有令牌的邮政请求,这意味着CSRF验证错误.要解决它,请尝试此代码:
file = {"docfile": open(fullfilename, "rb")}
s = requests.Session()
r1 = s.get(dhost)
csrf_token = r1.cookies['csrftoken']
r2 = s.post(dhost, files=file, data={'csrfmiddlewaretoken': csrf_token}, headers=dict(Referer=dhost))
如果这仅是您自己的用法,则可以使用CSRF_EXAMPT在该视图上禁用CSRF:
@csrf_exempt def my_view(request): ...whateva...
但是请注意,如果您打算启动服务器并将其打开给公共
,这不是建议的解决方案其他推荐答案
如果我使用python-requepests命令,它告诉我CSRF验证 失败的.但是,如果我在发送的标题中查看,我有cookie集:
'Content-Length': u'84169', 'Accept-Encoding': 'gzip, deflate, compress', 'Accept': '/', 'User-Agent': 'python-requests/2.0.1 CPython/2.7.3 Linux/3.6.11+', 'Cookie': 'csrftoken=GOOIsG89i5oMCJO6594algTXooxoUeoL', 'Content-Type': 'multipart/form-data; boundary=86ada00b4f6c41d5997293cce7a53b6b
您必须将两件事发送回服务器:
1)csrftoken cookie.
2)以下表格名称/值对:
"csrfmiddlewaretoken" = "csrf token here"
a requests会话将为您返回cookie,但您必须添加表单/值对:
sess = requests.Session()
r = sess.get(get_url)
my_csrf_token = r.cookies['csrftoken']
with open('myfile.txt') as f:
r = sess.post(
post_url,
data = {
"csrfmiddlewaretoken": my_csrf_token,
},
files = {"myfile": f}
)
print r.status_code
print r.text
当您的Django HTML模板包含CSRF标签时:
<form name="myMessage"
method="post"
class="signin"
action="/myapp/process_form/"
enctype="multipart/form-data">
{% csrf_token %}
csrf tag被隐藏的表单字段替换:
<input type="hidden"
value="RTpun6OhlRehRRa2nAIcTtFJk5WuWsLg"
name="csrfmiddlewaretoken">
隐藏的表单字段将附加名称/值对以及表单创建的所有其他名称/值对发送.名称为"csrfmiddlewaretoken",值是CSRF令牌. Django检查cookie以及表单数据中的名称/值对.
顺便说一句,为了获得CSRF令牌用于测试目的,您可以将get请求发送到看起来像这样的视图:
def myview(request):
from django.middleware.csrf import get_token
get_token(request) #This causes django to set the csrftoken cookie in the response
return HttpResponse('server received GET request')
标签:csrf,验证,python,get,django,token,CSRF,requests From: https://www.cnblogs.com/tslam/p/16718979.html