暑假电商项目一直有一个问题没有处理,用Nginx反代后端后,前端发送POST请求,有一个
CSRF token missing or incorrect.
错误,注销掉中间件CsrfViewMiddleware
也没有用,最后发现是DRF
的SessionAuthentication
认证模块的问题,当时选择了关掉这个认证模块,然后自己给后台写的视图认证就带来了问题,所以还是选择修复一下。
问题复现
当时的Nignx配置大概是这样的
location ~* /.*$ { |
只把Cookie转发过去了,于是出现了问题。
微信截图_20230106123522
解决思路
后面看到了CSRF Failed: CSRF token missing or incorrect_爱吃鱼虾的博客-CSDN博客
文章里提到:
django,会对合法的跨域访问做这样的检验,cookies里面存储的’csrftoken’,和post的header里面的字段”X-CSRFToken’作比较,只有两者匹配,才能通过跨域检验。
于是我去看源代码验证了一下
# request_csrf_token是从Headers中获取的 |
CSRF_HEADER_NAME
和CSRF_COOKIE_NAME
的默认值可在Django
包目录下/conf/global_settings.py
中查看
CSRF_COOKIE_NAME = 'csrftoken' |
解决办法
选择了和上面博客一样的解决方案,转发一下HTTP_X_CSRFTOKEN
location ~* /.*$ { |