我正在将我的项目移植到Django Rest Framework为我的项目制作一个合适的REST Api,我认为它有助于大量设计API并使其健壮但我遇到了一个问题:
我有一个入门模型和相关的ListCreateAPIView和RetrieveUpdateDestroyAPIView视图.我可以通过ajax请求在列表中成功发布一个新的条目实例,并csrfmiddlewaretoken按照我在常规Django View中的方式提供.
POST entries/
现在我尝试使用相同的方法将补丁应用于现有实例csrfmiddlewaretoken:
PATCH entries/3
然后响应状态代码是403 FORBIDDEN错误的,CSRF Failed: CSRF token missing or incorrect尽管我检查csrfmiddlewaretoken了请求数据中的firebux .
我没有错,我无法找到代码中的哪个地方被拒绝了.
注意:我可以使用Django Rest Framework可浏览的api 修补对象.
我希望有人能帮帮忙.谢谢.奥利维尔
编辑
我正在深入研究代码,看看PATCH请求的拒绝发生在哪里,我发现django.middleware.csrt.py如下:
if csrf_token is None: #
# No CSRF cookie. For POST requests, we insist on a CSRF cookie,
# and in this way we can avoid all CSRF attacks, including login
# CSRF.
return self._reject(request, REASON_NO_CSRF_COOKIE)
# Check non-cookie token for match.
request_csrf_token = “”
if request.method == “POST”: #
request_csrf_token = request.POST.get(‘csrfmiddlewaretoken’, ”)
if request_csrf_token == “”:
# Fall back to X-CSRFToken, to make things easier for AJAX,
# and possible for PUT/DELETE.
request_csrf_token = request.META.get(‘HTTP_X_CSRFTOKEN’, ”)
第二个测试失败,因为它不是POST请求,但所需信息在request.DATA中.所以似乎django不热衷于接受PATCH请求.您认为最好的解决方法是什么?
您是否建议使用其他身份验证系统(Django-rest-framework文档中有一些)?
EDIT2
我发现了一个解决方案:我发现可浏览的api实际上是发送一个POST请求,但是带有一个参数_method =”PATCH”,所以我对我的ajax请求做了同样的事情并且工作正常.
我不知道这是否是正确的方法,欢迎任何反馈和意见!
EDIT3
因此,经过更多阅读后,我发现(我已经知道了……)由于某些浏览器不支持PUT,PATCH,DELETE等请求,所以要采用X-HTTP-Method-Override发送发布请求在标题中.
所以我认为最好的方法是做以下事情:
$.ajax({
headers: {
‘X-HTTP-Method-Override’: ‘PATCH’
},
type : “POST”,
…
});