Подтвердить что ты не робот

AngularJS + Django Rest Framework + CORS (CSRF Cookie не отображается в клиенте)

Я разрабатываю одностраничное приложение в приложении AngularJS и Django Rest Framework + Django CORS Headers.

Моя проблема в том, что cookie "csrftoken" никогда не появляется в моем браузере, когда я связался с бэкэнд.

Например: я делаю логин, используя сообщение. Я получаю "sessionid" cookie правильно, но "csrftoken" никогда не появляется, и поэтому я не могу делать правильные сообщения от моего клиента, так как мне будет отказано из-за отсутствия токена csrf.

  • Я проанализировал заголовки ответов из API, а csrftoken - не ther.
  • Я посмотрел прямо в браузере остальных браузеров, и там он прекрасно выглядит.
  • Как раз отметить, я могу сделать свой первый POST для входа, поскольку Django Rest Framework только заставляет CSRF для аутентифицированных пользователей. Если я попытаюсь переписать его, произойдет с момента появления "sessionid" -cookie.
  • Я не заинтересован в обходе защиты CSRF, поскольку предлагают некоторые сообщения в stackoverflow.

Некоторые фрагменты кода с передней/внутренней стороны. Это незавершенные фрагменты, поэтому не зацикливайтесь на плохо написанном коде.

API-интерфейс Backend API LoginView

class LoginView(APIView):

renderer_classes = (JSONPRenderer, JSONRenderer)

def post(self, request, format=None):
    serializer = LoginSerializer(data=request.DATA)

    if serializer.is_valid():
        userAuth = authenticate(username=serializer.data['username'], password=serializer.data['password'])

        if userAuth:

            if userAuth.is_active:
                login(request, userAuth)

                loggedInUser = AuthUserProfile.objects.get(pk=1)
                serializer = UserProfileSerializer(loggedInUser)

                user = [serializer.data, {'isLogged': True}]



        else:
            user = {'isLogged': False}

        return Response(user, status=status.HTTP_200_OK)

    return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

Клиентская система управления доступом AngularJS

.controller('LoginCtrl', ['$scope', '$http', 'uService', '$rootScope', function(scope, $http, User, rootScope) {

scope.login = function() {

    var config = {
        method: 'POST',
        withCredentials: true,
        url: rootScope.apiURL+'/user/login/',
        data : scope.loginForm
    };

    $http(config)
    .success(function(data, status, headers, config) {

        if (status == 200) {
            console.log(data[0]); //Test code
            // succefull login
            User.isLogged = true;
            User.username = data.username;

        }
        else {
            console.log(data); //Test code
            User.isLogged = false;
            User.username = '';
        }

    })
    .error(function(data, status, headers, config) {
        console.log('Testing console error');
        User.isLogged = false;
        User.username = '';
    });
};

}]);

Любой, у кого есть хорошие советы/идеи/примеры?

4b9b3361

ОТВЕТЫ

Ответ 1

Итак, я нашел свое собственное решение, похоже, отлично работает.

Это новые фрагменты кода:

API-интерфейс Backend API LoginView (добавлен декоратор, заставляющий токен csrf добавляться в тело)

class LoginView(APIView):

renderer_classes = (JSONPRenderer, JSONRenderer)

@method_decorator(ensure_csrf_cookie)
def post(self, request, format=None):
    c = {}
    c.update(csrf(request))
    serializer = LoginSerializer(data=request.DATA)

    if serializer.is_valid():
        userAuth = authenticate(username=serializer.data['username'], password=serializer.data['password'])

        if userAuth:

            if userAuth.is_active:
                login(request, userAuth)

                loggedInUser = AuthUserProfile.objects.get(pk=1)
                serializer = UserProfileSerializer(loggedInUser)

                user = [serializer.data, {'isLogged': True}]



        else:
            user = {'isLogged': False}

        return Response(user, status=status.HTTP_200_OK)

    return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

Сторона стороне AngularJS (добавить токен в заголовок запроса)

$http.defaults.headers.post['X-CSRFToken'] = $cookies.csrftoken;

Файл настроек на стороне сервера (специально для django-cors-headers)

По умолчанию добавляются первые 5, но вам нужно добавить "X-CSRFToken", чтобы разрешить такой заголовок от клиента к API с помощью CORS, иначе сообщение будет отклонено.

CORS_ALLOW_HEADERS = (
'x-requested-with',
'content-type',
'accept',
'origin',
'authorization',
'X-CSRFToken'

)

Вот оно!

Ответ 2

Однопользовательское веб-приложение AngularJS на субдомене A, разговаривающее с API Jang JSON (REST) ​​в поддомене B с использованием защиты CORS и CSRF

Поскольку я в настоящее время работаю над подобной настройкой и боролся за то, чтобы CORS правильно работал в сочетании с CSRF-защитой, я хотел поделиться своими собственными знаниями здесь.

Настройка - SPA и API находятся в разных поддоменах того же домена:

  • AngularJS (1.2.14) Одностраничное веб-приложение на субдоме app.mydomain.com
  • Приложение Django (1.6.2) реализует API JSON REST на поддомене api.mydomain.com

Приложение AngularJS подается через приложение Django в том же проекте, что и APP API Django, так что он устанавливает CSRF Cookie. См. Также, например, Как запустить несколько веб-сайтов из одного проекта Django

Django API App - для того, чтобы работать с CORS и CSRF, мне нужно было сделать следующее на бэкэнде API.

В settings.py для этого приложения (расширение проекта Django settings.py):

  • Добавить приложение corsheaders и промежуточное ПО и промежуточное ПО CSRF:
INSTALLED_APPS = (
    ...
    'corsheaders',
    ...
)

MIDDLEWARE_CLASSES = (
    ...
    'django.middleware.csrf.CsrfViewMiddleware',
    ...
    'corsheaders.middleware.CorsMiddleware',
)

Также см. заголовки Django CORS на GitHub

  • Добавьте домен для SPA Webapp в CORS_ORIGIN_WHITELIST
CORS_ORIGIN_WHITELIST = [
    ...
    'app.mydomain.com',
    ...
]
  • Установите CORS_ALLOW_CREDENTIALS в значение True. Это важно, если вы этого не сделаете, cookie CSRF не будет отправлен с запросом

CORS_ALLOW_CREDENTIALS = True

Добавьте декоратор обеспечения_csrf_cookie к вашим представлениям, обрабатывающим запросы API JSON:

from django.views.decorators.csrf import ensure_csrf_cookie

@ensure_csrf_cookie
def myResource(request):
    ...

Приложение Django для AngularJS - приложение AngularJS подается через приложение Django в том же проекте. Это приложение Django настроено для установки CSRF Cookie. Затем токен CSRF из файла cookie используется для запросов к API (который, таким образом, выполняется как часть одного и того же проекта Django).

Обратите внимание, что почти все файлы, связанные с приложением AngularJS, являются только статическими файлами с точки зрения Django. Приложение Django должно обслуживать index.html, чтобы установить файл cookie.

В settings.py для этого приложения (снова расширение проекта Django settings.py), установите CSRF_COOKIE_DOMAIN таким образом, чтобы субдомены также могли их использовать:

CSRF_COOKIE_DOMAIN = ".mydomain.com"

В views.py мне нужно только отобразить файл AngularJS index.html, снова используя декоратор make_csrf_cookie:

from django.shortcuts import render
from django.views.decorators.csrf import ensure_csrf_cookie

# Create your views here.
@ensure_csrf_cookie
def index(request):
    return render(request, 'index.html')

Отправка запросов в API с помощью AngularJS. В конфигурации приложения AngularJS установите следующие значения $httpProvider по умолчанию:

$httpProvider.defaults.xsrfCookieName = 'csrftoken';
$httpProvider.defaults.xsrfHeaderName = 'X-CSRFToken';
$httpProvider.defaults.withCredentials = true;

Опять же, обратите внимание на withCredentials, это гарантирует, что CSRF Cookie будет использоваться в запросе.

Ниже я покажу, как вы можете отправлять запросы на api, используя службу AngularJS $http и JQuery:

$http.post("http://api.mydomain.com/myresource", {
    field1   : ...,
      ...
    fieldN   : ...
}, {
    headers : {
        "x-csrftoken" : $cookies.csrftoken
    }
});

Также см. модуль ngCookies.

Использование JQuery (1.11.0):

$.ajax("http://api.mydomain.com/myresource", {
    type: 'POST',
    dataType : 'json',
    beforeSend : function(jqXHR, settings) {
        jqXHR.setRequestHeader("x-csrftoken", get_the_csrf_token_from_cookie());
    },
    cache : false,
    contentType   : "application/json; charset=UTF-8",
    data : JSON.stringify({
        field1   : ...,
          ...
        fieldN   : ...
    }),
    xhrFields: {
        withCredentials: true
    }
});

Надеюсь, это поможет!

Ответ 3

Непосредственно из документов https://docs.djangoproject.com/en/1.9/ref/csrf/#ajax

Если ваше представление не отображает шаблон, содержащий csrf_token тег шаблона, Django может не устанавливать куки файл токена CSRF. Это обычно в тех случаях, когда формы динамически добавляются на страницу. к обратитесь к этому случаю, Django предоставляет декоратор, который заставляет настройка файла cookie: secure_csrf_cookie().

Поскольку ваше приложение является одностраничным, вы можете добавить ensure_csrf_cookie() в представление, которое отвечает за загрузку начальной страницы.

Ответ 4

Небольшое обновление этого решения.

Так как AngularJS 1.2.10 вам нужно установить cookie CSRF для каждого типа запроса в клиенте:

$http.defaults.headers.post['X-CSRFToken'] = $cookies.csrftoken;
$http.defaults.headers.put['X-CSRFToken'] = $cookies.csrftoken;
$http.defaults.headers['delete']['X-CSRFToken'] = $cookies.csrftoken;

Это вызвано следующим изменением, которое произошло между 1.2.9 и 1.2.10 https://github.com/cironunes/angular.js/commit/781287473bc2e8ee67078c05b76242124dd43376

Надеюсь, это поможет кому-то!

Ответ 5

После столь большого поиска я приземлился на это решение, и его работа формирует меня в локальной системе, а также на реальном сервере веб-фракций, это мое решение для пользователей Django, пожалуйста, зайдите в свою папку apache, расположенную в проекте то в корзине вы найдете

httpd.conf или конфигурацию вашего сервера для php или других пользователей (обычно находится в файле *.conf, таком как httpd.conf или apache.conf) или внутри .htaccess. то просто добавьте этот код

<IfModule mod_headers.c>
SetEnvIf Origin (.*) AccessControlAllowOrigin=$1
Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
Header set Access-Control-Allow-Credentials true
</IfModule>

тогда в angular js app вам просто нужно разместить

angular.module('app', ['ngCookies'])
    .config([
   '$httpProvider',
   '$interpolateProvider',
   function($httpProvider, $interpolateProvider, $scope, $http) {
       $httpProvider.defaults.withCredentials = true;
       $httpProvider.defaults.xsrfCookieName = 'csrftoken';
       $httpProvider.defaults.headers.post['Content-Type'] = 'application/x-www-form-urlencoded';
   }]).
   run([
   '$http',
   '$cookies',
   function($http, $cookies) {
       $http.defaults.headers.post['X-CSRFToken'] = $cookies.csrftoken;
   }]);

Он работал у меня на платформе Django Angularjs.

https://gist.github.com/mlynch/be92735ce4c547bd45f6