Django Rest Framework supprimer csrf

Je sais qu'il y a des réponses concernant Django Rest Framework, mais je n'ai pas trouvé de solution à mon problème.

J'ai une application qui a une authentification et des fonctionnalités. J'y ai ajouté une nouvelle application, qui utilise Django Rest Framework. Je souhaite utiliser la bibliothèque uniquement dans cette application. Aussi, je veux faire une demande POST, et je reçois toujours cette réponse:

{
    "detail": "CSRF Failed: CSRF token missing or incorrect."
}

J'ai le code suivant:

# urls.py
from django.conf.urls import patterns, url


urlpatterns = patterns(
    'api.views',
    url(r'^object/$', views.Object.as_view()),
)

# views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from django.views.decorators.csrf import csrf_exempt


class Object(APIView):

    @csrf_exempt
    def post(self, request, format=None):
        return Response({'received data': request.data})

Je veux ajouter l'API sans affecter l'application actuelle. Ma question est donc de savoir comment désactiver CSRF uniquement pour cette application?

Pourquoi cette erreur se produit?

Cela se produit à cause du SessionAuthenticationschéma par défaut utilisé par DRF. DRF SessionAuthenticationutilise le cadre de session de Django pour l'authentification qui nécessite que CSRF soit vérifié.

Lorsque vous n'en définissez aucune authentication_classesdans votre vue / ensemble de vues, DRF utilise ces classes d'authentification par défaut.

'DEFAULT_AUTHENTICATION_CLASSES'= (
    'rest_framework.authentication.SessionAuthentication',
    'rest_framework.authentication.BasicAuthentication'
),

Étant donné que DRF doit prendre en charge à la fois l'authentification basée sur la session et l'authentification non-session pour les mêmes vues, il applique la vérification CSRF uniquement pour les utilisateurs authentifiés. Cela signifie que seules les demandes authentifiées nécessitent des jetons CSRF et que les demandes anonymes peuvent être envoyées sans jetons CSRF.

Si vous utilisez une API de style AJAX avec SessionAuthentication, vous devrez inclure un jeton CSRF valide pour tous les appels de méthode HTTP "non sécurisés", tels que les PUT, PATCH, POST or DELETErequêtes.

Que faire alors?

Maintenant, pour désactiver la vérification csrf, vous pouvez créer une classe d'authentification personnalisée CsrfExemptSessionAuthenticationqui s'étend à partir de la SessionAuthenticationclasse par défaut . Dans cette classe d'authentification, nous remplacerons le enforce_csrf()contrôle qui se produisait dans le réel SessionAuthentication.

from rest_framework.authentication import SessionAuthentication, BasicAuthentication 

class CsrfExemptSessionAuthentication(SessionAuthentication):

    def enforce_csrf(self, request):
        return  # To not perform the csrf check previously happening

À votre avis, vous pouvez alors définir le authentication_classescomme étant:

authentication_classes = (CsrfExemptSessionAuthentication, BasicAuthentication)

Cela devrait gérer l'erreur csrf.

Solution plus simple:

Dans views.py, utilisez les accolades CsrfExemptMixin et authentication_classes:

# views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from django.views.decorators.csrf import csrf_exempt
from braces.views import CsrfExemptMixin


class Object(CsrfExemptMixin, APIView):
    authentication_classes = []

    def post(self, request, format=None):
        return Response({'received data': request.data})

Modifier urls.py

Si vous gérez vos routes dans urls.py, vous pouvez encapsuler vos routes souhaitées avec csrf_exempt () pour les exclure du middleware de vérification CSRF.

from django.conf.urls import patterns, url
    from django.views.decorators.csrf import csrf_exempt
    import views

urlpatterns = patterns('',
    url(r'^object/$', csrf_exempt(views.ObjectView.as_view())),
    ...
)

Alternativement, en tant que décorateur Certains peuvent trouver l'utilisation du décorateur @csrf_exempt plus adapté à leurs besoins

par exemple,

from django.views.decorators.csrf import csrf_exempt
from django.http import HttpResponse

@csrf_exempt
def my_view(request):
    return HttpResponse('Hello world')

devrait faire le travail!

Pour tous ceux qui n'ont pas trouvé de réponse utile. Oui DRF supprime automatiquement la protection CSRF si vous n'utilisez pas SessionAuthenticationAUTHENTICATION CLASS, par exemple, de nombreux développeurs n'utilisent que JWT:

'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
    ),

Mais le problème CSRF not setpeut provenir d'une autre raison, par exemple, vous n'avez pas correctement ajouté le chemin à votre vue:

url(r'^api/signup/', CreateUserView),  # <= error! DRF cant remove CSRF because it is not as_view that does it!

au lieu de

url(r'^api/signup/', CreateUserView.as_view()),

J'ai essayé quelques-unes des réponses ci-dessus et j'ai senti que créer une classe séparée était un peu exagéré.

Pour référence, j'ai rencontré ce problème en essayant de mettre à jour une méthode de vue basée sur une fonction vers une méthode de vue basée sur une classe pour l'enregistrement des utilisateurs.

Lorsque vous utilisez des vues basées sur les classes (CBV) et Django Rest Framework (DRF), héritez de la classe ApiView et définissez permission_classes et authentication_classes sur un tuple vide. Trouvez un exemple ci-dessous.

class UserRegistrationView(APIView):

    permission_classes = ()
    authentication_classes = ()

    def post(self, request, *args, **kwargs):

        # rest of your code here

Si vous ne souhaitez pas utiliser l'authentification basée sur la session, vous pouvez supprimer Session Authenticationde REST_AUTHENTICATION_CLASSES et cela supprimerait automatiquement tous les problèmes basés sur csrf. Mais dans ce cas, les API navigables peuvent ne pas fonctionner.

En outre, cette erreur ne devrait pas venir même avec l'authentification de session. Vous devez utiliser une authentification personnalisée telle que TokenAuthentication pour vos API et assurez-vous d'envoyer Accept:application/jsonet Content-Type:application/json(à condition que vous utilisez json) dans vos demandes avec le jeton d'authentification.

Vous devez ajouter ceci pour empêcher l'authentification de session par défaut: (settings.py)

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework.authentication.TokenAuthentication',
    ),
    'DEFAULT_PERMISSION_CLASSES': (
        'rest_framework.permissions.IsAuthenticated', 
    )
}

Ensuite: (views.py)

from rest_framework.permissions import AllowAny

class Abc(APIView):
    permission_classes = (AllowAny,)

    def ...():

Je suis frappé du même problème. J'ai suivi cette référence et cela a fonctionné. La solution est de créer un middleware

Ajouter le fichier disable.py dans l'une de vos applications (dans mon cas, c'est 'myapp')

class DisableCSRF(object):
    def process_request(self, request):
        setattr(request, '_dont_enforce_csrf_checks', True)

Et ajoutez le middileware aux MIDDLEWARE_CLASSES

MIDDLEWARE_CLASSES = (
myapp.disable.DisableCSRF,
)

Si vous utilisez un environnement virtuel exclusif pour votre application, vous pouvez utiliser l'approche suivante sans aucune autre application efficace.

Ce que vous avez observé se produit car rest_framework/authentication.pyce code est dans la authenticateméthode de SessionAuthenticationclasse:

self.enforce_csrf(request)

Vous pouvez modifier la Requestclasse pour avoir une propriété appelée csrf_exemptet l'initialiser dans votre classe View respective Truesi vous ne voulez pas de vérifications CSRF. Par exemple:

Ensuite, modifiez le code ci-dessus comme suit:

if not request.csrf_exempt:
    self.enforce_csrf(request)

Il y a des changements connexes que vous devrez faire en Requestclasse. Une implémentation complète est disponible ici (avec une description complète): https://github.com/piaxis/django-rest-framework/commit/1bdb872bac5345202e2f58728d0e7fad70dfd7ed

Ma solution est montrée coup. Décorez simplement ma classe.

from django.views.decorators.csrf import csrf_exempt
@method_decorator(csrf_exempt, name='dispatch')
@method_decorator(basic_auth_required(
    target_test=lambda request: not request.user.is_authenticated
), name='dispatch')
class GenPedigreeView(View):
    pass

Lors de l'utilisation de POST API REST, l'absence d'en-tête de requête X-CSRFToken peut provoquer cette erreur. Documents Django fournit un exemple de code sur l'obtention et la définition de la valeur du jeton CSRF à partir de JS.

Comme indiqué dans les réponses ci-dessus, la vérification CSRF se produit lorsque la SessionAuthentication est utilisée. Une autre approche consiste à utiliser TokenAuthentication, mais gardez à l'esprit qu'il doit être placé en premier dans la liste des DEFAULT_AUTHENTICATION_CLASSES du paramètre REST_FRAMEWORK.

Cela pourrait également être un problème lors d'une attaque de reliure DNS .

Entre les changements DNS, cela peut également être un facteur. Attendre que le DNS soit complètement vidé résoudra ce problème s'il fonctionnait avant les problèmes / changements DNS.