Django csrf_exemptがSessionAuthenticationと連携していません

Question

私はDjango Rest Frameworkを使用してユーザー登録/ログインを使用してWebアプリケーションを構築しています。 私はCSRFトークンを必要としないようにユーザーのサインアップを免除しようとしています。これが私の見解は、今のように見えるものです：

class UserSignUpView(generics.CreateAPIView): 
    permission_classes = [] # FIXME: doesn't seem to be working 
    serializer_class = UserSerializer 

    @method_decorator(csrf_exempt) 
    def post(self, request, *args, **kwargs): 
     super().post(self, request, *args, **kwargs) 

    def get_permissions(self): 
     if self.request.method == 'POST': 
      return (permissions.AllowAny(), TokenHasReadWriteScope()) 
     return False 

私のsettings.pyは、次のようになります。

REST_FRAMEWORK = { 
    # Use Django's standard `django.contrib.auth` permissions, 
    # or allow read-only access for unauthenticated users. 
    'DEFAULT_AUTHENTICATION_CLASSES': (
     'rest_framework.authentication.BasicAuthentication', 
     'rest_framework.authentication.SessionAuthentication', 
    ), 
    'DEFAULT_PERMISSION_CLASSES': [ 
     'rest_framework.permissions.AllowAny', 
    ] 
} 

私はまだ古典的なCSRF verification failed. Request aborted.

Forbidden (CSRF cookie not set.): /users/私のバックエンドの出力に、フロントエンドでこれを取得します

なぜこれは機能しませんか？私は手動でCSRFクッキーを設定していないという事実と関係がありますか？

Answer 1

ジャンゴRESTフレームワークは既に任意APIViewにcsrf_exemptを使用してCSRFチェックを行うからCSRFViewMiddlewareを防止します。代わりに、ユーザーがSessionAuthenticationを使用して正常に認証されると、CSRFチェックが明示的に呼び出されます。この小切手を迂回することはできません。通常のDjangoビューはセッションに依存しない可能性があります。この場合、CSRF攻撃は不可能で、csrf_exemptを使用してこれを示すことができます。 SessionAuthenticationを使用する場合、はであり、CSRF攻撃に対して脆弱であるため、攻撃を防ぐためにチェックする必要があります。この場合のチェックをバイパスすると、常に脆弱性が表示されるため、DRFではチェックを無効にすることができません。

あなたは基本的にこの問題を解決するには、2つのオプションがあります。それは成功しSessionAuthenticationによって認証されないユーザーを確認してください

• を。
• Cookieが設定されていることを確認し、トークンをX-CsrfTokenリクエストヘッダーに送信します。