フォームなしで投稿する場合は、CSRFトークンを設定するには2つの手順があります。
1)Cookieからcsrftoken
を入手してください。
2)csrftokenを取得したら、(データをPOSTする前に)csrftokenでヘッダーを設定する必要があります。
1)Cookieからcsrftoken
を入手してください。
// Function to GET csrftoken from Cookie
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
var csrftoken = getCookie('csrftoken');
2)あなたはcsrftokenを持っていたら、あなたはデータをPOSTする前に、あなたはcsrftokenとヘッダーを(設定する必要があります)。
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
// Function to set Request Header with `CSRFTOKEN`
function setRequestHeader(){
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
}
function postSomeData() {
.....
setRequestHeader();
$.ajax({
dataType: 'json',
type: 'POST',
url: "/url-of-some-api/",
data: data,
success: function() {
alert('success');
},
error: function() {
alert('error');
}
});
}
Firebugのヒント。それはそれを作った。クッキーにトークンが表示され、リクエストにトークンが表示されます。問題は私のアプリのこの部分ではなかったとわかりました。 私の質問に答えるには:このPre-AJAX機能のため、テンプレートタグフィールドは不要です。右? –
はい、私がドキュメントを正しく理解している場合、Djangoはテンプレートタグを完全に上回り、CSRFトークンを処理するためのクッキーを優先しています。 –