AJAX/CSRF | Форум | Django на русском

3 Июль 2014, 15:15

viron

Отклики: 3

3 Июль 2014, 15:15

viron

Отклики: 3

Здравствуйте я новичок в Django и немного запутался в связке JQUERY/AJAX/CSRF. Есть код:

TEMPLATE-HTML
<form action="ajax/test/" method="POST" id="ab">
    <input type="text" id="a" name="" value="" />
    <input type="text" id="b" name="" value="" />
    <input id="clickme" type="button" value="Кликни меня" />
</form>

<script type="text/javascript">
    $('#clickme').click(function() {
        var a = $("#a").val();
        var b = $("#b").val();
            $.post("ajax/test/", {
            'a': a,
            'b': b,
            }, 
            function(data) {
                alert(data);
        });
    });
</script>

VIEWS.py
    from django.views.decorators.csrf import csrf_exempt
    from django.http import HttpResponse
    @csrf_exempt
    def ajax_test(request):
        if request.is_ajax():
            try:
                a = request.POST['a']
                b = request.POST['b']
                data = int(a) * int(b)
            except:
                data = "Only numbers"
        return HttpResponse(data)

Settings.js дабы тут сильно не спамить вынес на http://pastebin.com/APV95XpM

Убираю декоратор «@csrf_exempt» выдает ошибку 403, думаю так и должно быть. Однако удаляю куки(csrftoken) из сессии браузера и он всё равно отправляет аякс запрос, обрабатывает его как ни в чем не бывало и выдает тот же ответ что и с кукями. Что я делаю не так?

Обновлено 3 Июль 2014, 15:27 viron.

Ответ | 0

3 Июль 2014, 16:47 alerion Отклики: 5748 Местонахождение: Львов	3 Июль 2014, 16:47 alerion Отклики: 5748 Местонахождение: Львов Вообще без @csrf_exempt должно как раз работать, если токен в куках есть. Не понтяно с декоратором или без работает "как ни в чем не бывало". Фиксю баги по трейсбеку.
	Ответ \| 0

3 Июль 2014, 18:58 viron Отклики: 3	3 Июль 2014, 18:58 viron Отклики: 3 alerion С декоратором всё работает и с куками и без них, а вот без него никак не хочет.
	Ответ \| 0

3 Июль 2014, 19:43

alerion

Отклики: 5748
Местонахождение: Львов

3 Июль 2014, 19:43

alerion

Отклики: 5748
Местонахождение: Львов

Ну декоратор просто вообще отключает проверку :)

Сначала определите отсылается ли токен в запросе. Если отсылается, значит проблема на сервере.

Вообще есть такая фишка, что токен генерируется только при необходимости. У вас в форме нет {% csrf_token %}, может он вообще не генерируется. Просто вставьте где-то на странице, обычно в форму добавляют, тег {% csrf_token %}.

Фиксю баги по трейсбеку.

Ответ | 0

3 Июль 2014, 22:21 viron Отклики: 3	3 Июль 2014, 22:21 viron Отклики: 3 Спасибо, решил проблему передачей параметра csrfmiddlewaretoken в запрос. Нужно ли использовать @csrf_protect если и без него всё работает?
	Ответ \| 0

4 Июль 2014, 12:43

alerion

Отклики: 5748
Местонахождение: Львов

4 Июль 2014, 12:43

alerion

Отклики: 5748
Местонахождение: Львов

Спасибо, решил проблему передачей параметра csrfmiddlewaretoken в запрос. Нужно ли использовать @csrf_protect если и без него всё работает?

Без него работает. Он нужен, если глобально отключена проверка и для некоторых нужно включить.

Фиксю баги по трейсбеку.

Ответ | 0