Django DRF - トークン認証でCSRF検証を行う方法

Question

私はDjangoとDjango Rest Frameworkを使用してREST APIに取り組んでいます。 フロントエンドにはAngularJsアプリがあります。 私はAPIにトークン認証を使用しました。これにより、CSRFのチェックが無効になります。

私はCSRF検証をREST APIで保持したいと考えています。これを達成する方法は？

角度アプリケーションのインターセプタを使用して、すべてのPOST要求のヘッダーにCSRFトークン値を設定する方法を教えてください。

Answer 1

app.jsにこの設定があります。トリックをする必要があります！

app.config(function($httpProvider) { 
    $httpProvider.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest'; 
    $httpProvider.defaults.xsrfCookieName = 'csrftoken'; 
    $httpProvider.defaults.xsrfHeaderName = 'X-CSRFToken'; 
}); 

Answer 2

私はジャンゴとDRFとの角度の1.xを使用し始めたとき、私は同じ問題を持って、その後、私は私が考える本の中で、このコードスニペットを見つけ、それが私のために正常に動作します。 base.htmlファイルまたはメインのhtmlファイルにこのファイルを含めてJavaScriptをインポートしてください。すべてがスムーズに動作し、バックエンドとの会話が始まります。あなたはCSRFの検証を使用したくないのはなぜ

// Place at /static/js/csrf.js 
 
// CSRF helper functions taken directly from Django docs 
 
function getCookie(name) { 
 
    var cookieValue = null; 
 
    if (document.cookie && document.cookie != '') { 
 
     var cookies = document.cookie.split(';'); 
 
     for (var i = 0; i < cookies.length; i++) { 
 
      var cookie = jQuery.trim(cookies[i]); 
 

 
      // Does this cookie string begin with the name we want? 
 
      if (cookie.substring(0, name.length + 1) == (name + '=')) { 
 
       cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); 
 
       break; 
 
      } 
 
     } 
 
    } 
 
    return cookieValue; 
 
} 
 
var csrftoken = getCookie('csrftoken'); 
 
function csrfSafeMethod(method) { 
 
// these HTTP methods do not require CSRF protection 
 
    return (/ ˆ (GET|HEAD|OPTIONS|TRACE) $ /.test(method)); 
 
} 
 
$.ajaxSetup({ 
 
    beforeSend: function (xhr, settings) { 
 
     if (!csrfSafeMethod(settings.type) && !this.crossDomain) { 
 
      xhr.setRequestHeader("X-CSRFToken", csrftoken); 
 
     } 
 
    } 
 
});