普通网友 2025-07-09 17:15 采纳率: 97.8%
浏览 5
已采纳

问题:Django Admin跨域请求为何会触发Origin Checking Failed错误?

在使用 Django Admin 时,开发者可能会遇到跨域请求(CORS)触发 **Origin Checking Failed** 错误的问题。此错误通常由 Django 的 CSRF 保护机制引起,即使已配置 CORS 相关中间件(如 `django-cors-headers`),某些场景下仍会阻止来自非同源的请求。 核心原因在于:Django Admin 默认要求所有 POST 请求携带合法的 CSRF Token,并验证请求头中的 `Origin` 或 `Referer` 字段是否可信。而在跨域请求中,若前端未正确携带认证信息或未配置 `CSRF_TRUSTED_ORIGINS`,则会导致校验失败。 解决方法包括:合理配置 `CORS_ALLOWED_ORIGINS`、启用并正确设置 `CSRF_TRUSTED_ORIGINS`,以及确保跨域请求携带 Cookie 和 CSRF Token。
  • 写回答

1条回答 默认 最新

  • 希芙Sif 2025-07-09 17:16
    关注

    1. Django Admin 中跨域请求触发 Origin Checking Failed 的问题概述

    在使用 Django Admin 界面进行前后端分离开发时,开发者常常会遇到跨域请求被拦截的问题。尤其是在通过前端框架(如 Vue、React)向 Django 后端发起 POST 请求时,即便已经引入了 django-cors-headers 插件并配置了相关参数,依然可能遇到如下错误:

    [INFO] Forbidden (Origin checking failed - http://localhost:3000 does not match any trusted origins.): /admin/login/

    该错误的核心原因在于 Django 内置的 CSRF 保护机制。Django 默认对所有表单提交(尤其是 POST 请求)要求携带合法的 CSRF Token,并验证请求头中的 OriginReferer 是否在白名单中。

    2. 跨域请求失败的常见场景与分析过程

    • 前端运行在 http://localhost:3000,后端运行在 http://localhost:8000,但未正确配置信任源
    • 使用 fetchAxios 发起请求时未设置 withCredentials: true,导致 Cookie 无法携带
    • CSRF Token 未正确附加到请求头中
    • Django 设置中 CSRF_TRUSTED_ORIGINS 缺失或格式不正确

    下图展示了典型的跨域请求流程以及 CSRF 校验的关键节点:

                graph TD
                A[Frontend App] -->|POST /admin/login/| B(Django Server)
                B --> C{Is Origin Trusted?}
                C -- Yes --> D{CSRF Token Valid?}
                D -- Yes --> E[Login Success]
                D -- No --> F[Forbidden: CSRF Failed]
                C -- No --> G[Forbidden: Origin Checking Failed]

    3. 解决方案详解

    以下为解决该问题的详细步骤和配置说明:

    1. 安装并启用 django-cors-headers:
      安装插件以支持跨域请求: 
      pip install django-cors-headers
      settings.py 中添加中间件和配置: 
      MIDDLEWARE = [
    ...
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
    ...
]
      CORS_ALLOWED_ORIGINS = [
    "http://localhost:3000",
]
    2. 配置 CSRF_TRUSTED_ORIGINS:
      添加信任的来源列表以绕过 Origin 检查: 
      CSRF_TRUSTED_ORIGINS = [
    "http://localhost:3000",
]
      注意:此配置需包含协议(http/https)和域名,不能带路径。
    3. 确保请求携带 Cookie 和 CSRF Token:
      前端代码示例(使用 fetch): 
      fetch("http://localhost:8000/admin/login/", {
    method: "POST",
    credentials: "include",
    headers: {
        "X-CSRFToken": getCookie("csrftoken"),
        "Content-Type": "application/json"
    },
    body: JSON.stringify({ username, password })
});
      其中 getCookie() 函数用于从浏览器 cookie 中获取 csrftoken。
    4. 启用 Session 认证和 CSRF 验证中间件:
      确保 Django 的认证中间件已启用: 
      MIDDLEWARE += [
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
]

    4. 关键配置项对比表格

    配置项作用是否必须示例值
    CORS_ALLOWED_ORIGINS允许跨域请求的源地址["http://localhost:3000"]
    CSRF_TRUSTED_ORIGINSCSRF 校验时信任的源地址["http://localhost:3000"]
    CORS_ALLOW_CREDENTIALS是否允许携带 Cookie视情况True

    5. 进阶建议与调试技巧

    • 使用浏览器开发者工具查看 Network 面板,确认请求头中是否包含 X-CSRFTokenCookie
    • 检查服务器日志输出,定位具体的拒绝信息(如 “Origin checking failed”)
    • 测试阶段可临时关闭 CSRF 验证(仅限本地环境): 
      @csrf_exempt
      但生产环境切勿使用。
    • 对于部署在 HTTPS 上的项目,确保 CSRF_TRUSTED_ORIGINS 使用 https 协议
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • django解决跨域请求问题
    2020-09-19 23:25
    在今天的互联网开发中,前端与后端分离的模式变得越来越普遍,而这种模式下跨域请求问题是一个常见又不得不解决的问题。跨域资源共享(Cross-Origin Resource Sharing,CORS)是一种浏览器安全策略,它允许一个域的...
  • django解决跨域请求问题详解
    2020-09-19 17:06
    Django是一个流行的Python Web框架,当它作为后端服务器时,可能遇到前端跨域请求问题。以下是对Django解决跨域请求问题的详细讲解。 ### 解决方案1:使用`django-cors-headers`库 `django-cors-headers`是一...
  • django基于cors解决跨域请求问题详解
    2020-09-18 21:30
    下面将详细介绍这两个概念以及在Django项目中如何基于CORS解决跨域请求问题。 同源策略是浏览器的一种安全策略,当浏览器从一个域名的页面去请求另一个不同域名的资源时,受到同源策略的限制。如果这两个页面具有...
  • Django跨域请求问题的解决方法示例
    2020-09-20 09:11
    Django框架中,跨域资源共享(CORS)是一个常见的问题,特别是在开发涉及前端与后端交互的应用程序时。浏览器的同源策略限制了JavaScript从一个域名向另一个域名发起HTTP请求,这导致了跨域请求的限制。为了解决这...
  • Django实现跨域请求过程详解
    2020-09-18 23:59
    使用JsonP可以实现简单的GET请求跨域,但这种方法现在已经较少使用,因为其存在局限性,如只能支持GET请求,并且前后端交互较为繁琐。 #### 在Django中间件中添加响应头 在Django中,可以通过编写自定义的中间件来...
  • 简单了解django处理跨域请求最佳解决方案
    2020-09-17 16:24
    标题中的“简单了解django处理跨域请求最佳解决方案”是指在Django框架中处理来自不同源的HTTP请求,即跨域请求问题。这个问题通常出现在前端应用(如JavaScript)尝试与不同域名、协议或端口的服务器进行通信时,...
  • django.security.csrf - WARNING - Forbidden (Origin checking failed:does not match any trusted origin
    2025-09-23 15:00
    mylove_北极甜虾的博客 django警告导致登陆有问题,具体原因分析: Django CSRF验证机制: Django 从4.0开始默认启用CSRF_TRUSTED_ORIGINS校验机制, 当前端向django后端发起跨域POST请求(如登陆/authenticate/时), Django检查请求头...
  • vue3+django通信时报错Forbidden (Origin checking failed does not match any trusted origins.):
    2024-09-15 23:15
    九是否随机的称呼的博客 currentpage=1&pagesize=20&search=&reset=0 HTTP/1.1” 200 14215 Forbidden (Origin checking failed - http://localhost:9000 does not match any trusted origins.): /csdn/postArticle 参见文档内的内容:...
  • django解决跨域请求问题
    2022-04-02 09:24
    Hero_s_的博客 1、安装django-cors-headers模块 pip install django-cors-headers 2、修改setting.py中的配置 INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django....
  • Django跨域请求CSRF的方法示例
    2020-09-19 23:24
    Django框架在处理跨域请求(Cross-Origin Resource Sharing, CORS)时,面临CSRF(Cross-Site Request Forgery,跨站请求伪造)的安全风险。本文将探讨Django如何安全地实现跨域请求同时防范CSRF攻击,并提供相关的...
  • 没有解决我的问题, 去提问

问题事件

  • 已采纳回答 10月23日
  • 创建了问题 7月9日