weixin_33738578 2019-01-06 12:52 采纳率: 0%
浏览 61

AJAX中缺少CSRF令牌

I am trying to build a ajax powered like button, but the ajax code is not working.

views.py
def like_button(request,postid):
    postresult=get_object_or_404(post,id=postid)
    if postresult.user_like.filter(id=request.user.id).exists():
        postresult.user_like.remove(request.user)
    else:
        postresult.user_like.add(request.user)
    noresdat=postresult.totallikes
    response_data_to_dump={'success': True,'likes':noresdat}
    data = json.dumps(response_data_to_dump)
    return HttpResponse(data, content_type='application/json')

while template is as follows:-

{% for p in result %}
    <div class="SpriteContainer"> 
      <a class="postlike" href="/like/{{ p.id }}"><img src="{%static "/images/icons/heart.png" %}"/></a>
      <p class="nolike" style="display: inline-block;">{{ p.totallikes }}</p></div>
    {% endfor %}
<script>
    var csrftoken = $("[name=csrfmiddlewaretoken]").val();
    $(".postlike").click(function(e){
      e.preventDefault();
      var $this = $(this);
      var url = $(this).data("action");
      $.post(url, function(response){
      if(response && response.success==true)
      $this.next(".nolike").text(response.likes);
  });
});

  • 写回答

2条回答 默认 最新

  • weixin_33736048 2019-01-06 13:06
    关注

    The CSRF middleware and template tag provides easy-to-use protection against Cross Site Request Forgeries.(Django).

    And The CSRF middleware is activated by default in the MIDDLEWARE setting. So either you will have to provide csrf token or you will have to exempt that view from CSRF. Views are based on classes or functions. Since you are using function based views, you can take advantage of [csrf_exempt].1

    from django.views.decorators.csrf import csrf_exempt,
    @csrf_exempt
    def like_button(request,postid):
    评论

报告相同问题?

  • 如何使用反 CSRF 令牌保护您的网站和 Web 应用程序
    2023-09-15 09:45
    zzhongcy的博客 使用上述基本的反 CSRF 令牌,您可以在登录时在用户会话 cookie 设置令牌,然后为每个表单验证相同的令牌。为了平衡安全性和可用性,您可以为您使用的每个表单生成单独的令牌。但现在假设您的站点使用简单的基于...
  • 无法验证提供的CSRF令牌,因为找不到您的会话。
    2020-05-20 20:16
    qq_39009944的博客 如果A项目开启了CSRF防护,上面的sessionid覆盖就会导致操作A项目会出现“无法验证提供的CSRF令牌,因为找不到您的会话。”这个异常,新版本的Spring Security 不会帮你捕获这个异常,所以你可能在控制台什么都看不...
  • django csrf 的实现机制
    2024-08-26 06:18
    ac-er8888的博客 Django 的 CSRF 实现机制依赖于为每个用户会话生成唯一的 CSRF token,并通过多种方式(如 cookie、模板标签和请求头)将这个 token 传递给前端页面。当表单提交时,Django 会验证请求CSRF token 是否有效,...
  • CSRF攻击Token验证错误的报错与修复
    2025-06-10 12:46
    喜欢编程就关注我的博客 摘要:本文探讨了CSRF(跨站请求伪造)攻击防御Token验证的常见错误及修复方法。文章分析了Token不匹配、缺失和配置不当等报错原因,提供了Node.js+Express、Spring Boot等框架的代码示例和解决方案。通过表格示例...
  • Ajax提交携带csrf_token的post请求
    2020-10-15 17:19
    zy_whynot的博客 在django项目通常后端在接收到post请求时都会在CsrfViewMiddleware校验csrf_token,如果前端的post请求没有携带csrf_token参数,后端就会报错,缺少csrf_token。 1、表单提交Post请求,隐藏字段就保存的csrf_...
  • CSRF】学习关于CSRF攻击和防范
    2022-03-13 17:12
    玖等了的博客 关于CSRF攻击的相关信息,包括如何怎么发生,发生场景和如何防范
  • CSRF verification failed. Request aborted.
    2024-12-30 11:53
    悟空空心的博客 在通过 JavaScript 发起 POST 请求时,确保将 CSRF token 包含在请求头。检查浏览器是否启用了 cookies。如果你使用的是跨域请求,确保处理好 CORS 和 CSRF 头部。如果你希望禁用 CSRF 校验,可以使用,但这要谨慎...
  • Django CSRF验证失败请求为什么会断?
    2025-03-18 22:31
    字节王德发的博客 CSRF保护确实是Django得以提供安全性的一个重要机制,了解其背后的原理,可以帮助开发者在实现用户体验与安全性之间取得平衡。遇到CSRF验证失败,不要慌张!逐步排查,了解常见的错误发生原因,并采取合理的解决措施...
  • Axios.post 请求报错: 403 Forbidden missing csrf token 和 invalid csrf token
    2023-11-30 17:41
    gqkmiss的博客 出现 403 错误(missing csrf token)通常是由于缺少 CSRF 令牌或者令牌不正确导致的。 使用 axios.post 请求接口会报 403 错误,而使用 fetch 请求不会,这可能是由于两者默认处理请求的方式不同。 1. Axios axios ...
  • 如何在Spring项目防止CSRF攻击
    2019-05-07 15:36
    Cayp_的博客 首先我们来理解cookie机制,就是当你登录某个网站,从后端接收的cookie会存到浏览器,你下次访问该网站时浏览器会将属该网站的cookies带过去。 那么如果黑客编写了一个页面,将你登录过的网站接口链接放入该页面...
  • 没有解决我的问题, 去提问