Django csrf_exempt가 SessionAuthentication과 함께 작동하지 않습니다.

Question

저는 Django Rest Framework를 사용하여 사용자 등록/로그인으로 webapp를 구축하고 있습니다. 사용자가 CSRF 토큰이 필요하지 않은보기를 면제하려고합니다. 이는 내 생각이 지금과 같은 모습입니다 :

class UserSignUpView(generics.CreateAPIView): 
    permission_classes = [] # FIXME: doesn't seem to be working 
    serializer_class = UserSerializer 

    @method_decorator(csrf_exempt) 
    def post(self, request, *args, **kwargs): 
     super().post(self, request, *args, **kwargs) 

    def get_permissions(self): 
     if self.request.method == 'POST': 
      return (permissions.AllowAny(), TokenHasReadWriteScope()) 
     return False 

내 settings.py은 다음과 같습니다

REST_FRAMEWORK = { 
    # Use Django's standard `django.contrib.auth` permissions, 
    # or allow read-only access for unauthenticated users. 
    'DEFAULT_AUTHENTICATION_CLASSES': (
     'rest_framework.authentication.BasicAuthentication', 
     'rest_framework.authentication.SessionAuthentication', 
    ), 
    'DEFAULT_PERMISSION_CLASSES': [ 
     'rest_framework.permissions.AllowAny', 
    ] 
} 

난 아직도 내 백엔드 출력 Forbidden (CSRF cookie not set.): /users/에이를 얻고 앞에 고전 CSRF verification failed. Request aborted.

을 종료

왜 작동하지 않습니까? CSRF 쿠키를 수동으로 설정하지 않은 것과 관련이있을 수 있습니까?

Answer 1

장고 REST 프레임 워크는 에 csrf_exempt을 사용하여 CSRFViewMiddleware에서 CSRF 확인을 수행하지 못하게합니다. 대신 사용자가 SessionAuthentication을 사용하여 성공적으로 인증되면 CSRF 검사를 명시 적으로 호출합니다. 이 수표를 우회 할 수 없으며 그렇게 할 수도 없습니다. 보통 장고보기는 세션에 의존하지 않을 수도 있습니다. CSRF 공격은 불가능합니다. csrf_exempt을 사용하여이를 나타낼 수 있습니다. SessionAuthentication을 사용하면 은이 CSRF 공격에 취약하며 공격을 막기 위해 검사가 필요합니다. 이 경우 수표를 무시하면 취약점에 노출 될 수밖에 없으므로 DRF에서는 수표를 사용하지 못하게합니다.

• 이 성공적 SessionAuthentication에 의해 인증되지 않은 사용자 확인 :

  당신은 기본적으로이 문제를 해결하는 두 가지 옵션이 있습니다.

• 쿠키가 설정되어 있는지 확인하고 X-CsrfToken 요청 헤더에 토큰을 보냅니다.