csrftoken в куках отличается от генерируемого в шаблоне тегом csrf_token | Forum

10 Nov. 2015, 16:04

bloodlettinger

Posts: 420

10 Nov. 2015, 16:04

bloodlettinger

Posts: 420

На сервере разработки все хорошо, после деплоя на продакшине стал ловить 403 после обработки форм

Ошибка доступа (403)
Ошибка проверки CSRF. Запрос отклонён.
Вы видите это сообщение, потому что данный сайт требует, чтобы при отправке форм была отправлена и CSRF-cookie. Данный тип cookie необходим по соображениям безопасности, чтобы убедиться, что ваш браузер не был взломан и не выполняет от вашего лица действий, запрограммированных третьими лицами.
Если вы настроили свой браузер таким образом, чтобы он не передавал или не хранил cookie, пожалуйста, включите эту функцию вновь, по крайней мере для этого сайта, или для запросов, чьи домен и порт совпадают с доменом и портом текущей страницы.
В отладочном режиме доступно больше информации. Включить отладочный режим можно, установив значение переменной DEBUG=True.

Вообще не понимаю, с какого бока подойти к решению. Посоветуйте откуда разбираться?

Не привыкай за других выполнять свою работу.

Answer | 0

10 Nov. 2015, 16:27

bloodlettinger

Posts: 420

10 Nov. 2015, 16:27

bloodlettinger

Posts: 420

Вопрос снят. Сторонний сервис онлайн менеджера ввел новую фитчу "живые формы - уведомления в реальном времени о всех заполненных формах насайте". Они то и послужили виной всего этого беспорядка.

Не привыкай за других выполнять свою работу.

Answer | 0

11 Nov. 2015, 12:23 bloodlettinger Posts: 420	11 Nov. 2015, 12:23 bloodlettinger Posts: 420 Вопрос снова поднят. Дело в не чате, преждевременный вывод сделал, не протестив все до конца. Не привыкай за других выполнять свою работу.
	Answer \| 0

11 Nov. 2015, 13:54 devel787@gmail.com Posts: 233	11 Nov. 2015, 13:54 devel787@gmail.com Posts: 233 Бывают проблемы, связанные с https://docs.djangoproject.com/en/1.8/howto/deployment/checklist/#https
	Answer \| 0

13 Nov. 2015, 12:59

bloodlettinger

Posts: 420

13 Nov. 2015, 12:59

bloodlettinger

Posts: 420

В консоли браузера увидел следующую штуку, обращение к урлу шло 2 раза и csrftoken в куках менялся, а в шаблоне оставался от первого запроса. Причина была в <img src="#">. После устранения этого казуса проблема не решилась.

Вот инфомрация из консоли браузера

General

Remote Address:46.101.136.35:80
Request URL:http://www.sport2000.ru/cart/add/
Request Method:POST
Status Code:403 FORBIDDEN

Response Headers

view source
Connection:keep-alive
Content-Encoding:gzip
Content-Length:1117
Content-Type:text/html
Date:Fri, 13 Nov 2015 09:53:00 GMT
Server:nginx/1.6.2
Vary:Accept-Encoding
X-Frame-Options:SAMEORIGIN

Request Headers

view source
Accept:*/*
Accept-Encoding:gzip, deflate
Accept-Language:ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Connection:keep-alive
Content-Length:66
Content-Type:application/x-www-form-urlencoded; charset=UTF-8
Cookie:sessionid=pblmbdinacxwtplcl031k9ppg3i0auqd; _ym_uid=1447407496759863049; megagroup_onicon_563ca806286688c6088b459e_site_domain=sport2000.ru; megagroup_onicon_563ca806286688c6088b459e_user_id=5645af89256688560997a88a; megagroup_onicon_563ca806286688c6088b459e_user_hash=140cd5207aafe10e9a24f8e651ff6a04; _sntnl[en]=1; csrftoken=4cNveIpje68MMEYtUpwEejqD8ZVZ62vm; _ga=GA1.2.1435464583.1447407496; _ym_visorc_32387230=w; megagroup_onicon_563ca806286688c6088b459e_panel_position=['right','bottom',20,0,280,171]
Host:www.sport2000.ru
Origin:http://www.sport2000.ru
Referer:http://www.sport2000.ru/catalog/begovye-dorozhki/
User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36
X-CSRFToken:4cNveIpje68MMEYtUpwEejqD8ZVZ62vm
X-Requested-With:XMLHttpRequest

Form Data

view source
view URL encoded
product_id:74
csrfmiddlewaretoken:4cNveIpje68MMEYtUpwEejqD8ZVZ62vm

Видно что в куках csrftoken=4cNveIpje68MMEYtUpwEejqD8ZVZ62vm; и в запросе csrfmiddlewaretoken:4cNveIpje68MMEYtUpwEejqD8ZVZ62vm совпадают. Но ошибка 403 Ошибка проверки CSRF. Запрос отклонён. продолжает вылезать. Эмперически было выяснено, что проблема уходит, если отключить чат консультанта на сайте, но как это связанно совершенно не ясно.

Особенно странно, что точно такой же код чата с оператором стоит на другом сайте на джанге и такой проблемы не вылезает.

Не привыкай за других выполнять свою работу.

Answer | 0

13 Nov. 2015, 13:38 Vaal Posts: 27	13 Nov. 2015, 13:38 Vaal Posts: 27 Можно подключить какой -то обработчик к логгеру csrf. Там несколько причин может быть https://github.com/django/django/blob/master/django/middleware/csrf.py#L22
	Answer \| 0

13 Nov. 2015, 21:08

bloodlettinger

Posts: 420

13 Nov. 2015, 21:08

bloodlettinger

Posts: 420

Vaal подробный лог еще не получил, но заметил еще одну странность. После каждого обновления страницы приходит новый csrftoken в response cookeis. Хотя по доке он не должен меняться на протяжении сессии.

Каким образом подключение js скрипта в фронтент может инициировать django.middleware.csrf.get_token() после каждого обновления страницы?

Updated 13 Nov. 2015, 21:43 by bloodlettinger.

Не привыкай за других выполнять свою работу.

Answer | 0

13 Nov. 2015, 23:22

bloodlettinger

Posts: 420

13 Nov. 2015, 23:22

bloodlettinger

Posts: 420

Поставил метки Print(text) в /env/lib/python3.4/site-packages/django/middleware.csrf.py/csrf.py

Если вставляю js чата, _get_new_csrf_key начинает срабатывать при каждом обращении к серверу, даже при обращении к статике или media.

Не привыкай за других выполнять свою работу.

Answer | 0

14 Nov. 2015, 13:42

bloodlettinger

Posts: 420

14 Nov. 2015, 13:42

bloodlettinger

Posts: 420

Дальнейшие раскопки показали, что django рвет мозг когда чат записывает в куки несколько своих значений. Особо примечательно что это касается только браузеров на webkit (гугл хром, яндекс браузер, сафари), в файрфоксе и ie такой проблемы не возникает воообще.

Если из кук удалить значения добавленные чатом, джанго начинает обрабатывать формы нормально.

Нашел очень похожую по симптомам проблему и описание ее рещения вот тут http://blog.afandian.com/2012/05/trouble-with-local-cross-domain-django-cookies/

Изменение SESSION_COOKIE_DOMAIN и CSRF_COOKIE_DOMAIN на .sport2000.ru мне не помогли. Подкиньте еще идеи.

Updated 14 Nov. 2015, 13:50 by bloodlettinger.

Не привыкай за других выполнять свою работу.

Answer | 0

15 Nov. 2015, 12:01 alerion Posts: 5750 Location: Львов	15 Nov. 2015, 12:01 alerion Posts: 5750 Location: Львов А тут вот берет из запроса токен, или новый создает https://github.com/django/django/blob/master/django/middleware/csrf.py#L114 ? Фиксю баги по трейсбеку.
	Answer \| 0

16 Nov. 2015, 12:34 bloodlettinger Posts: 420	16 Nov. 2015, 12:34 bloodlettinger Posts: 420 Проверяет в запросе, и обрабатывает `except KeyError` Не привыкай за других выполнять свою работу.
	Answer \| 0

16 Nov. 2015, 13:27

bloodlettinger

Posts: 420

16 Nov. 2015, 13:27

bloodlettinger

Posts: 420

Удалил чат и продолжил эксперементы. Полностью чищу куки, загружаю страницу с одной формой. В куки пишется csrf токен. Дальше с помощью расширения добавляю в браузер куку для сайта _sntnl[en] с любым значением. Начинаю ловить 304

Дальнейшие экспременты показали, что проблема в квадратных скобках

Да, версия django 1.8.4, питон 3.4.3 Аналогичная конструкция на 2.7.6 работает нормально.

Updated 16 Nov. 2015, 14:10 by bloodlettinger.

Не привыкай за других выполнять свою работу.

Answer | 0

16 Nov. 2015, 14:15 alerion Posts: 5750 Location: Львов	16 Nov. 2015, 14:15 alerion Posts: 5750 Location: Львов Странное поведение. Может быг создать им? Фиксю баги по трейсбеку.
	Answer \| 0

16 Nov. 2015, 15:08

bloodlettinger

Posts: 420

16 Nov. 2015, 15:08

bloodlettinger

Posts: 420

https://github.com/django/django/blob/master/django/middleware/csrf.py#L115

request.COOKIES возвращает пустую строку, если в куках есть ключ или значение, содержащее [ или ], в питоне 2.7.6 проблемы нет, только в связке python 3.4.3 + webkit браузеры

Updated 16 Nov. 2015, 15:15 by bloodlettinger.

Не привыкай за других выполнять свою работу.

Answer | 0

16 Nov. 2015, 15:27 alerion Posts: 5750 Location: Львов	16 Nov. 2015, 15:27 alerion Posts: 5750 Location: Львов Тут пишет, что наоборот не должно быть проблемы с новыми версиями http://stackoverflow.com/questions/30785451/django-csrf-cookie-not-set-error-if-there-is-cookie-value-starting-with-square-b Фиксю баги по трейсбеку.
	Answer \| 0

16 Nov. 2015, 15:45 alerion Posts: 5750 Location: Львов	16 Nov. 2015, 15:45 alerion Posts: 5750 Location: Львов Из релиз ноута Python 3.4.4rc1 Issue #22931: Allow ‘[‘ and ‘]’ in cookie values. Updated 16 Nov. 2015, 16:02 by alerion. Фиксю баги по трейсбеку.
	Answer \| 0

16 Nov. 2015, 17:20

bloodlettinger

Posts: 420

16 Nov. 2015, 17:20

bloodlettinger

Posts: 420

Пофиксили в 2.7.10 и в 3.5.

3.4.4rc1 еще не зарелизили.

Как временное решение, можно поправить /usr/lib/python3.4/http/cookies.py руками или накатить патч http://bugs.python.org/file38773/issue22931_2.patch

Не привыкай за других выполнять свою работу.

Answer | 0

16 Nov. 2015, 19:56 bloodlettinger Posts: 420	16 Nov. 2015, 19:56 bloodlettinger Posts: 420 И это еще не все. Данный патч заставляет пропускать `[ ]` в значениях кук, мне надо заставить пропускать и заголовки с []. Не привыкай за других выполнять свою работу.
	Answer \| 0

17 Nov. 2015, 0:59

bloodlettinger

Posts: 420

17 Nov. 2015, 0:59

bloodlettinger

Posts: 420

Комрады, помогите сделать последний рывок

_LegalCharsPatt  = r"\w\d!#%&'~_`><@,:/\$\*\+\-\.\^\|\)\(\?\}\{\="
_LegalValuesPatt = _LegalCharsPatt + '\[\]'
_CookiePattern = re.compile(r"""
    (?x)                           # This is a verbose pattern
    \s*                            # Optional whitespace at start of cookie
    (?P<key>                       # Start of group 'key'
    [""" + _LegalCharsPatt + r"""]+?   # Any word of at least one letter
    )                              # End of group 'key'
    (                              # Optional group: there may not be a value.
    \s*=\s*                          # Equal Sign
    (?P<val>                         # Start of group 'val'
    "(?:[^\\"]|\\.)*"                  # Any doublequoted string
    |                                  # or
    \w{3},\s[\w\d\s-]{9,11}\s[\d:]{8}\sGMT  # Special case for "expires" attr
    |                                  # or
    [""" + _LegalValuesPatt + r"""]*     # Any word or empty string
    )                                # End of group 'val'
    )?                             # End of optional value group
    \s*                            # Any number of spaces.
    (\s+|;|$)                      # Ending either at space, semicolon, or EOS.
    """, re.ASCII)                 # May be removed if safe.

Как сделать что бы в?P<key> тоже допускались [ ]?

Не привыкай за других выполнять свою работу.

Answer | 0

17 Nov. 2015, 10:11 alerion Posts: 5750 Location: Львов	17 Nov. 2015, 10:11 alerion Posts: 5750 Location: Львов Так в первых двух строках определяются символы для ключа и значения :) Фиксю баги по трейсбеку.
	Answer \| 0

17 Nov. 2015, 10:43

bloodlettinger

Posts: 420

17 Nov. 2015, 10:43

bloodlettinger

Posts: 420

если вот сюда

(?P<key>                       # Start of group 'key'
    [""" + _LegalCharsPatt + r"""]+?   # Any word of at least one letter
    )

вместо _LegalCharsPatt указываю _LegalCharsPatt (т.к туда добавлены экранированные \]\[), то куки, так же как и без этих изменений, не читают значения с [] в ключе. Куки читаю так print(request.COOKIES)

Не привыкай за других выполнять свою работу.

Answer | 0