私はDjango(1.5)でシンプルなマルチプレイヤーゲームアプリを開発中です。例のhereに続いて、私はクライアント接続を管理するために別々のNode.jsサーバとSocket.ioを使用しています。上記のチュートリアルでは、APIのビューの@csrf_exempt
を使用していますNode.jsからDjangoにCSRFトークンを渡す
:
私の質問は二つの部分に分解します。 POSTはクライアントから来たものではなく、localhost経由のNode.jsサーバーから来ているので、このビューにCSRF保護を使用しないことで、私はどのようなことに晒されていますか?
私は上記のことがわからないので、私はCSRF保護を使用したいと思います。 Djangoが提供するクッキー(the docsのように)からCSRFトークンを抽出し、それをPOSTとともに送信しようとしましたが、まだ403の応答があります。
game_server.js:
io.configure(function() {
io.set('authorization', function (data, accept) {
if (data.headers.cookie) {
data.cookie = cookie_reader.parse(data.headers.cookie);
return accept(null, true);
}
return accept('error', false);
});
io.set('log level', 1);
});
io.sockets.on('connection', function (socket) {
socket.on('check_word', function (data) {
values = querystring.stringify({
word: data,
sessionid: socket.handshake.cookie['sessionid']
});
var options = {
host: 'localhost',
port: 8000,
path: '/node/check_word',
method: 'POST',
headers: {
'X-CSRFToken': socket.handshake.cookie['csrftoken'],
'Content-Type': 'application/x-www-form-urlencoded',
'Content-Length': values.length
}
};
var req = http.request(options, function (res) {
res.setEncoding('utf8');
res.on('data', function (message) {
if (message) {
console.log(message);
}
});
});
req.write(values);
req.end();
});
});
はgame.html(のみスクリプト部分):任意の洞察力が大きくなり
@ensure_csrf_cookie
def check_word(request):
return HttpResponse("MATCH:" + request.POST.get('word'))
:
(function ($) {
var socket = io.connect('localhost', { port: 4000 });
socket.on('connect', function() {
console.log("connected");
});
word_el = $('#word-input');
word_el.keypress(function (event) {
if (event.keyCode === 13) {
// Enter key pressed
var word = word_el.attr('value');
if (word) {
socket.emit('check_word', word, function (data) {
console.log(data);
});
}
word_el.attr('value', '');
}
});
})(jQuery);
views.py感謝!