Android отправляет почтовые запросы на сервер django csrf failing

Я хочу, чтобы мое приложение для Android могло отправлять некоторую информацию на мой сервер django. Поэтому я сделал приложение для Android отправить почтовый запрос на страницу mysite/upload, а просмотр django для этой страницы будет работать на основе данных post. Проблема заключается в ответе, который сервер дает для пост-запроса, жалуется, что проверка csrf не удалась. Глядя на проблему, кажется, мне, возможно, придется сначала получить токен csrf с сервера, затем сделать сообщение с этим токеном. Но я не уверен, как я это делаю. Редактирование: я обнаружил, что могу сбить проверку crsf для этого представления с помощью декоратора @csrf_exempt, но я не уверен, что это лучшее решение. Мой код андроида:

// Create a new HttpClient and Post Header
                    HttpClient httpclient = new DefaultHttpClient();
                    HttpPost httppost = new HttpPost(URL);

                    // Add your data
                    List<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>(2);
                    nameValuePairs.add(new BasicNameValuePair("scoreone", scoreone));
                    nameValuePairs.add(new BasicNameValuePair("scoretwo", scoretwo));
                    httppost.setEntity(new UrlEncodedFormEntity(nameValuePairs));
                    System.out.println("huzahhhhhhh");
                    // Execute HTTP Post Request
                    HttpResponse response = httpclient.execute(httppost);
                    BufferedReader in = new BufferedReader(new InputStreamReader(response.getEntity().getContent()));
                    StringBuffer sb = new StringBuffer("");
                    String line = "";
                    String NL = System.getProperty("line.separator");
                    while ((line = in.readLine()) != null) {
                        sb.append(line + NL);
                    }
                    in.close();
                    String result = sb.toString();
                    System.out.println("Result: "+result);

и мой код представления для обработки загрузки:

# uploads a players match
def upload(request):
    if request.method == 'POST':
        scoreone = int(request.POST['scoreone'])
        scoretwo = int(request.POST['scoretwo'])
        m = Match.objects.create()
        MatchParticipant.objects.create(player = Player.objects.get(pk=1), match = m, score = scoreone)
        MatchParticipant.objects.create(player = Player.objects.get(pk=2), match = m, score = scoretwo)
    return HttpResponse("Match uploaded" )

enter code here

Ответ 1

Напишите собственный декоратор и добавьте в свой запрос "секретный" заголовок. https://code.djangoproject.com/browser/django/trunk/django/views/decorators/csrf.py

def csrf_exempt(view_func):
        """
        Marks a view function as being exempt from the CSRF view protection.
        """
        # We could just do view_func.csrf_exempt = True, but decorators
        # are nicer if they don't have side-effects, so we return a new
        # function.
        def wrapped_view(request,*args, **kwargs):
            return view_func(request, *args, **kwargs)
            if request.META.has_key('HTTP_X_SKIP_CSRF'):
                wrapped_view.csrf_exempt = True
        return wraps(view_func, assigned=available_attrs(view_func))(wrapped_view)

Ответ 2

Сначала вам нужно прочитать токен csrf из файлов cookie из запроса предварительного просмотра:

httpClient.execute(new HttpGet(uri));
CookieStore cookieStore = httpClient.getCookieStore();
List <Cookie> cookies =  cookieStore.getCookies();
for (Cookie cookie: cookies) {
    if (cookie.getDomain().equals(Constants.CSRF_COOKIE_DOMAIN) && cookie.getName().equals("csrftoken")) {
        CSRFTOKEN = cookie.getValue();
    }
}

Если ваше представление не отображает шаблон, содержащий csrf_token тег шаблона, Django может не устанавливать куки файл токена CSRF. Это обычно в тех случаях, когда формы динамически добавляются на страницу. к обратитесь к этому случаю, Django предоставляет декоратор, который заставляет настройка файла cookie: secure_csrf_cookie(). - https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax

Затем вы можете передать его серверу на заголовках и куки сообщения после выполнения запроса:

httpPost.setHeader("Referer", Constants.SITE_URL);
httpPost.setHeader("X-CSRFToken", CSRFTOKEN);

DefaultHttpClient client = new DefaultHttpClient();
final BasicCookieStore cookieStore =  new BasicCookieStore();

BasicClientCookie csrf_cookie = new BasicClientCookie("csrftoken", CSRFTOKEN);
csrf_cookie.setDomain(Constants.CSRF_COOKIE_DOMAIN);
cookieStore.addCookie(csrf_cookie);

// Create local HTTP context - to store cookies
HttpContext localContext = new BasicHttpContext();
// Bind custom cookie store to the local context
localContext.setAttribute(ClientContext.COOKIE_STORE, cookieStore);

HttpResponse response = client.execute(httpPost, localContext);

Ответ 3

Отключение проверки CSRF, безусловно, работает! но вы уверены, что хотите это сделать? ваша первоначальная линия мышления; получение маркера с сервера и отправка его вместе с данными POST намного лучше.

Символ csrf обычно присутствует в виде файла cookie. Например, с картой Django у вас есть файл cookie csrftoken, вам нужно получить это значение и отправить его на сервер как "X-CSRFToken"