csrftoken в куках отличается от генерируемого в шаблоне тегом csrf_token | Форум

10 Ноя. 2015, 16:04

bloodlettinger

Отклики: 420

10 Ноя. 2015, 16:04

bloodlettinger

Отклики: 420

На сервере разработки все хорошо, после деплоя на продакшине стал ловить 403 после обработки форм

Ошибка доступа (403)
Ошибка проверки CSRF. Запрос отклонён.
Вы видите это сообщение, потому что данный сайт требует, чтобы при отправке форм была отправлена и CSRF-cookie. Данный тип cookie необходим по соображениям безопасности, чтобы убедиться, что ваш браузер не был взломан и не выполняет от вашего лица действий, запрограммированных третьими лицами.
Если вы настроили свой браузер таким образом, чтобы он не передавал или не хранил cookie, пожалуйста, включите эту функцию вновь, по крайней мере для этого сайта, или для запросов, чьи домен и порт совпадают с доменом и портом текущей страницы.
В отладочном режиме доступно больше информации. Включить отладочный режим можно, установив значение переменной DEBUG=True.

Вообще не понимаю, с какого бока подойти к решению. Посоветуйте откуда разбираться?

Не привыкай за других выполнять свою работу.

Ответ | 0

10 Ноя. 2015, 16:27

bloodlettinger

Отклики: 420

10 Ноя. 2015, 16:27

bloodlettinger

Отклики: 420

Вопрос снят. Сторонний сервис онлайн менеджера ввел новую фитчу "живые формы - уведомления в реальном времени о всех заполненных формах насайте". Они то и послужили виной всего этого беспорядка.

Не привыкай за других выполнять свою работу.

Ответ | 0

11 Ноя. 2015, 12:23 bloodlettinger Отклики: 420	11 Ноя. 2015, 12:23 bloodlettinger Отклики: 420 Вопрос снова поднят. Дело в не чате, преждевременный вывод сделал, не протестив все до конца. Не привыкай за других выполнять свою работу.
	Ответ \| 0

11 Ноя. 2015, 13:54 devel787@gmail.com Отклики: 233	11 Ноя. 2015, 13:54 devel787@gmail.com Отклики: 233 Бывают проблемы, связанные с https://docs.djangoproject.com/en/1.8/howto/deployment/checklist/#https
	Ответ \| 0

13 Ноя. 2015, 12:59

bloodlettinger

Отклики: 420

13 Ноя. 2015, 12:59

bloodlettinger

Отклики: 420

В консоли браузера увидел следующую штуку, обращение к урлу шло 2 раза и csrftoken в куках менялся, а в шаблоне оставался от первого запроса. Причина была в <img src="#">. После устранения этого казуса проблема не решилась.

Вот инфомрация из консоли браузера

General

Remote Address:46.101.136.35:80
Request URL:http://www.sport2000.ru/cart/add/
Request Method:POST
Status Code:403 FORBIDDEN

Response Headers

view source
Connection:keep-alive
Content-Encoding:gzip
Content-Length:1117
Content-Type:text/html
Date:Fri, 13 Nov 2015 09:53:00 GMT
Server:nginx/1.6.2
Vary:Accept-Encoding
X-Frame-Options:SAMEORIGIN

Request Headers

view source
Accept:*/*
Accept-Encoding:gzip, deflate
Accept-Language:ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Connection:keep-alive
Content-Length:66
Content-Type:application/x-www-form-urlencoded; charset=UTF-8
Cookie:sessionid=pblmbdinacxwtplcl031k9ppg3i0auqd; _ym_uid=1447407496759863049; megagroup_onicon_563ca806286688c6088b459e_site_domain=sport2000.ru; megagroup_onicon_563ca806286688c6088b459e_user_id=5645af89256688560997a88a; megagroup_onicon_563ca806286688c6088b459e_user_hash=140cd5207aafe10e9a24f8e651ff6a04; _sntnl[en]=1; csrftoken=4cNveIpje68MMEYtUpwEejqD8ZVZ62vm; _ga=GA1.2.1435464583.1447407496; _ym_visorc_32387230=w; megagroup_onicon_563ca806286688c6088b459e_panel_position=['right','bottom',20,0,280,171]
Host:www.sport2000.ru
Origin:http://www.sport2000.ru
Referer:http://www.sport2000.ru/catalog/begovye-dorozhki/
User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36
X-CSRFToken:4cNveIpje68MMEYtUpwEejqD8ZVZ62vm
X-Requested-With:XMLHttpRequest

Form Data

view source
view URL encoded
product_id:74
csrfmiddlewaretoken:4cNveIpje68MMEYtUpwEejqD8ZVZ62vm

Видно что в куках csrftoken=4cNveIpje68MMEYtUpwEejqD8ZVZ62vm; и в запросе csrfmiddlewaretoken:4cNveIpje68MMEYtUpwEejqD8ZVZ62vm совпадают. Но ошибка 403 Ошибка проверки CSRF. Запрос отклонён. продолжает вылезать. Эмперически было выяснено, что проблема уходит, если отключить чат консультанта на сайте, но как это связанно совершенно не ясно.

Особенно странно, что точно такой же код чата с оператором стоит на другом сайте на джанге и такой проблемы не вылезает.

Не привыкай за других выполнять свою работу.

Ответ | 0

13 Ноя. 2015, 13:38 Vaal Отклики: 27	13 Ноя. 2015, 13:38 Vaal Отклики: 27 Можно подключить какой -то обработчик к логгеру csrf. Там несколько причин может быть https://github.com/django/django/blob/master/django/middleware/csrf.py#L22
	Ответ \| 0

13 Ноя. 2015, 21:08

bloodlettinger

Отклики: 420

13 Ноя. 2015, 21:08

bloodlettinger

Отклики: 420

Vaal подробный лог еще не получил, но заметил еще одну странность. После каждого обновления страницы приходит новый csrftoken в response cookeis. Хотя по доке он не должен меняться на протяжении сессии.

Каким образом подключение js скрипта в фронтент может инициировать django.middleware.csrf.get_token() после каждого обновления страницы?

Обновлено 13 Ноя. 2015, 21:43 bloodlettinger.

Не привыкай за других выполнять свою работу.

Ответ | 0

13 Ноя. 2015, 23:22

bloodlettinger

Отклики: 420

13 Ноя. 2015, 23:22

bloodlettinger

Отклики: 420

Поставил метки Print(text) в /env/lib/python3.4/site-packages/django/middleware.csrf.py/csrf.py

Если вставляю js чата, _get_new_csrf_key начинает срабатывать при каждом обращении к серверу, даже при обращении к статике или media.

Не привыкай за других выполнять свою работу.

Ответ | 0

14 Ноя. 2015, 13:42

bloodlettinger

Отклики: 420

14 Ноя. 2015, 13:42

bloodlettinger

Отклики: 420

Дальнейшие раскопки показали, что django рвет мозг когда чат записывает в куки несколько своих значений. Особо примечательно что это касается только браузеров на webkit (гугл хром, яндекс браузер, сафари), в файрфоксе и ie такой проблемы не возникает воообще.

Если из кук удалить значения добавленные чатом, джанго начинает обрабатывать формы нормально.

Нашел очень похожую по симптомам проблему и описание ее рещения вот тут http://blog.afandian.com/2012/05/trouble-with-local-cross-domain-django-cookies/

Изменение SESSION_COOKIE_DOMAIN и CSRF_COOKIE_DOMAIN на .sport2000.ru мне не помогли. Подкиньте еще идеи.

Обновлено 14 Ноя. 2015, 13:50 bloodlettinger.

Не привыкай за других выполнять свою работу.

Ответ | 0

15 Ноя. 2015, 12:01 alerion Отклики: 5750 Местонахождение: Львов	15 Ноя. 2015, 12:01 alerion Отклики: 5750 Местонахождение: Львов А тут вот берет из запроса токен, или новый создает https://github.com/django/django/blob/master/django/middleware/csrf.py#L114 ? Фиксю баги по трейсбеку.
	Ответ \| 0

16 Ноя. 2015, 12:34 bloodlettinger Отклики: 420	16 Ноя. 2015, 12:34 bloodlettinger Отклики: 420 Проверяет в запросе, и обрабатывает `except KeyError` Не привыкай за других выполнять свою работу.
	Ответ \| 0

16 Ноя. 2015, 13:27

bloodlettinger

Отклики: 420

16 Ноя. 2015, 13:27

bloodlettinger

Отклики: 420

Удалил чат и продолжил эксперементы. Полностью чищу куки, загружаю страницу с одной формой. В куки пишется csrf токен. Дальше с помощью расширения добавляю в браузер куку для сайта _sntnl[en] с любым значением. Начинаю ловить 304

Дальнейшие экспременты показали, что проблема в квадратных скобках

Да, версия django 1.8.4, питон 3.4.3 Аналогичная конструкция на 2.7.6 работает нормально.

Обновлено 16 Ноя. 2015, 14:10 bloodlettinger.

Не привыкай за других выполнять свою работу.

Ответ | 0

16 Ноя. 2015, 14:15 alerion Отклики: 5750 Местонахождение: Львов	16 Ноя. 2015, 14:15 alerion Отклики: 5750 Местонахождение: Львов Странное поведение. Может быг создать им? Фиксю баги по трейсбеку.
	Ответ \| 0

16 Ноя. 2015, 15:08

bloodlettinger

Отклики: 420

16 Ноя. 2015, 15:08

bloodlettinger

Отклики: 420

https://github.com/django/django/blob/master/django/middleware/csrf.py#L115

request.COOKIES возвращает пустую строку, если в куках есть ключ или значение, содержащее [ или ], в питоне 2.7.6 проблемы нет, только в связке python 3.4.3 + webkit браузеры

Обновлено 16 Ноя. 2015, 15:15 bloodlettinger.

Не привыкай за других выполнять свою работу.

Ответ | 0

16 Ноя. 2015, 15:27 alerion Отклики: 5750 Местонахождение: Львов	16 Ноя. 2015, 15:27 alerion Отклики: 5750 Местонахождение: Львов Тут пишет, что наоборот не должно быть проблемы с новыми версиями http://stackoverflow.com/questions/30785451/django-csrf-cookie-not-set-error-if-there-is-cookie-value-starting-with-square-b Фиксю баги по трейсбеку.
	Ответ \| 0

16 Ноя. 2015, 15:45 alerion Отклики: 5750 Местонахождение: Львов	16 Ноя. 2015, 15:45 alerion Отклики: 5750 Местонахождение: Львов Из релиз ноута Python 3.4.4rc1 Issue #22931: Allow ‘[‘ and ‘]’ in cookie values. Обновлено 16 Ноя. 2015, 16:02 alerion. Фиксю баги по трейсбеку.
	Ответ \| 0

16 Ноя. 2015, 17:20

bloodlettinger

Отклики: 420

16 Ноя. 2015, 17:20

bloodlettinger

Отклики: 420

Пофиксили в 2.7.10 и в 3.5.

3.4.4rc1 еще не зарелизили.

Как временное решение, можно поправить /usr/lib/python3.4/http/cookies.py руками или накатить патч http://bugs.python.org/file38773/issue22931_2.patch

Не привыкай за других выполнять свою работу.

Ответ | 0

16 Ноя. 2015, 19:56 bloodlettinger Отклики: 420	16 Ноя. 2015, 19:56 bloodlettinger Отклики: 420 И это еще не все. Данный патч заставляет пропускать `[ ]` в значениях кук, мне надо заставить пропускать и заголовки с []. Не привыкай за других выполнять свою работу.
	Ответ \| 0

17 Ноя. 2015, 0:59

bloodlettinger

Отклики: 420

17 Ноя. 2015, 0:59

bloodlettinger

Отклики: 420

Комрады, помогите сделать последний рывок

_LegalCharsPatt  = r"\w\d!#%&'~_`><@,:/\$\*\+\-\.\^\|\)\(\?\}\{\="
_LegalValuesPatt = _LegalCharsPatt + '\[\]'
_CookiePattern = re.compile(r"""
    (?x)                           # This is a verbose pattern
    \s*                            # Optional whitespace at start of cookie
    (?P<key>                       # Start of group 'key'
    [""" + _LegalCharsPatt + r"""]+?   # Any word of at least one letter
    )                              # End of group 'key'
    (                              # Optional group: there may not be a value.
    \s*=\s*                          # Equal Sign
    (?P<val>                         # Start of group 'val'
    "(?:[^\\"]|\\.)*"                  # Any doublequoted string
    |                                  # or
    \w{3},\s[\w\d\s-]{9,11}\s[\d:]{8}\sGMT  # Special case for "expires" attr
    |                                  # or
    [""" + _LegalValuesPatt + r"""]*     # Any word or empty string
    )                                # End of group 'val'
    )?                             # End of optional value group
    \s*                            # Any number of spaces.
    (\s+|;|$)                      # Ending either at space, semicolon, or EOS.
    """, re.ASCII)                 # May be removed if safe.

Как сделать что бы в?P<key> тоже допускались [ ]?

Не привыкай за других выполнять свою работу.

Ответ | 0

17 Ноя. 2015, 10:11 alerion Отклики: 5750 Местонахождение: Львов	17 Ноя. 2015, 10:11 alerion Отклики: 5750 Местонахождение: Львов Так в первых двух строках определяются символы для ключа и значения :) Фиксю баги по трейсбеку.
	Ответ \| 0

17 Ноя. 2015, 10:43

bloodlettinger

Отклики: 420

17 Ноя. 2015, 10:43

bloodlettinger

Отклики: 420

если вот сюда

(?P<key>                       # Start of group 'key'
    [""" + _LegalCharsPatt + r"""]+?   # Any word of at least one letter
    )

вместо _LegalCharsPatt указываю _LegalCharsPatt (т.к туда добавлены экранированные \]\[), то куки, так же как и без этих изменений, не читают значения с [] в ключе. Куки читаю так print(request.COOKIES)

Не привыкай за других выполнять свою работу.

Ответ | 0