Неверный набор файлов Django CSRF
Обновление 7-18:
Вот моя конфигурация nginx для прокси-сервера:
server {
listen 80;
server_name blah.com; # the blah is intentional
access_log /home/cheng/logs/access.log;
error_log /home/cheng/logs/error.log;
location / {
proxy_pass http://127.0.0.1:8001;
}
location /static {
alias /home/cheng/diandi/staticfiles;
}
location /images {
alias /home/cheng/diandi/images;
}
client_max_body_size 10M;
}
Вот nginx.conf:
user www-data;
worker_processes 4;
pid /var/run/nginx.pid;
events {
worker_connections 768;
# multi_accept on;
}
http {
##
# Basic Settings
##
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# Logging Settings
##
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
##
# Gzip Settings
##
gzip_disable "msie6";
# Enable Gzip compressed.
gzip on;
# Enable compression both for HTTP/1.0 and HTTP/1.1.
gzip_http_version 1.1;
# Compression level (1-9).
# 5 is a perfect compromise between size and cpu usage, offering about
# 75% reduction for most ascii files (almost identical to level 9).
gzip_comp_level 5;
# Don't compress anything that already small and unlikely to shrink much
# if at all (the default is 20 bytes, which is bad as that usually leads to
# larger files after gzipping).
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
gzip_types
application/atom+xml
application/javascript
application/json
application/rss+xml
application/vnd.ms-fontobject
application/x-font-ttf
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
application/x-javascript
font/opentype
image/svg+xml
image/x-icon
text/css
text/plain
text/javascript
text/js
text/x-component;
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}
Обновление 7-15:
При копировании кода на Linux-машины я просто заменил исходный файл исходного кода, но не удалил старые .pyc файлы, которые, как я думаю, не вызовут проблемы правильно?
Вот код вида:
from django.contrib.auth import authenticate, login
from django.http import HttpResponseRedirect
from django.core.urlresolvers import reverse
from django.shortcuts import render
def login_view(request):
if request.method == 'POST':
username = request.POST['username']
password = request.POST['password']
user = authenticate(username=username, password=password)
next_url = request.POST['next']
if user is not None:
if user.is_active:
login(request, user)
if next_url:
return HttpResponseRedirect(next_url)
return HttpResponseRedirect(reverse('diandi:list'))
else:
form = {'errors': True}
return render(request, 'registration/login.html', {'form': form})
else:
form = {'errors': False}
return render(request, 'registration/login.html', {'form': form})
Я получил одну из тех ошибок CSRF cookie not set от Django, но это не потому, что я забыл включить {% csrf_token %} в свой шаблон.
Вот что я заметил:
Доступ к странице входа в систему # 1 попробуйте
Внутри Request Header значение cookie:
csrftoken=yNG8ZmSI4tr2xTLoE9bys8JbSuu9SD34;
В шаблоне:
<input type="hidden" name="csrfmiddlewaretoken" value="9CVlFSxOo0xiYykIxRmvbWyN5iEUHnPB">
В плагине cookie, который я установил на хром, фактическое значение cookie csrf установлено на:
9CVlFSxOo0xiYykIxRmvbWyN5iEUHnPB
Доступ к странице входа в систему # 2:
Внутри Request Header значение cookie:
csrftoken=9CVlFSxOo0xiYykIxRmvbWyN5iEUHnPB;
В шаблоне:
<input type="hidden" name="csrfmiddlewaretoken" value="Y534sU40S8iTubSVGjjh9KQl0FXesVsC">
В плагине cookie, который я установил на хром, фактическое значение cookie csrf установлено на:
Y534sU40S8iTubSVGjjh9KQl0FXesVsC
Образец
Как видно из приведенных выше примеров, значение cookie внутри Request Header отличается от фактического csrfmiddlewaretoken в форме и значением фактического значения cookie.
Значение cookie текущего запроса соответствует следующему значению cookie request header's.
Чтобы помочь отладке, вот часть моего параметра settings.py:
DJANGO_APPS = (
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
)
THIRD_PARTY_APPS = (
'compressor',
'crispy_forms',
'django_extensions',
'floppyforms',
'multiselectfield',
'admin_highcharts',
)
LOCAL_APPS = (
'diandi_project',
'uer_application',
)
INSTALLED_APPS = DJANGO_APPS + THIRD_PARTY_APPS + LOCAL_APPS
MIDDLEWARE_CLASSES = (
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
)
TEMPLATES = [
{
'BACKEND': 'django.template.backends.django.DjangoTemplates',
'DIRS': [str(ROOT_DIR.path('templates'))],
'APP_DIRS': True,
'OPTIONS': {
'context_processors': [
'django.template.context_processors.media',
'django.template.context_processors.debug',
'django.template.context_processors.request',
'django.contrib.auth.context_processors.auth',
'django.contrib.messages.context_processors.messages',
],
},
},
]
Я использую Django 1.9.5 и python 2.7.10.
Одно "решение"
Я столкнулся с этой проблемой до, я могу очистить все куки файлы своего браузера, и сайт будет работать правильно. Но эта проблема в конечном итоге снова появится, поэтому я действительно надеюсь, что кто-то может мне помочь (я, вероятно, просто сделал какую-то туманную ошибку).
Update
Первоначально я думал, что допустил некоторые ошибки при переопределении страницы
django.contrib.auth.view, поэтому я написал свой собственный обработчик страницы входа в систему и все еще вызывает проблему.
Вот основная часть моего шаблона входа:
{% block content %}
...
<form method="post" action="{% url 'login' %}">
{% csrf_token %}
<div class="form-group">
<label for="username">username</label>
<input type="text" class="form-control" id="id_username" name="username">
</div>
<div class="form-group">
<label for="password">password</label>
<input type="password" class="form-control" id="id_password" name="password">
</div>
<input type="submit" class="btn btn-default" value="login" />
<input type="hidden" id="next" name="next" value="" />
</form>
...
{% endblock %}
На машинах Linux у меня есть настройка сервера nginx как обратный прокси-сервер, который направляет запрос на порт 80 на 8001, и я запускаю сервер с помощью ./manage runserver localhost:8001. Это единственное отличие, которое я могу представить с точки зрения настройки, В противном случае все исходный код и файл настроек идентичны.
Я начал удалять файлы cookie, но не все из них, это то, что я вижу перед их удалением:
![введите описание изображения здесь]()
Я удалил все файлы cookie, отличные от djdt и csrftoken, затем работала страница. Могут ли удаленные файлы cookie каким-то образом преодолеть какой-то предел, который предотвратит установку csrftoken, который находится дальше списка?
Вот значение cookie изображения выше в заголовке запроса:
Cookie:PSTM=1466561622; BIDUPSID=6D0DDB8084625F2CEB7B9D0F14F93391; BAIDUID=326150BF5A6DFC69B6CFEBD67CA7A18B:FG=1; BDSFRCVID=Fm8sJeC62leqR8bRqWS1u8KOKg9JUZOTH6ao6BQjXAcTew_mbPF_EG0PJOlQpYD-hEb5ogKK0mOTHvbP; H_BDCLCKID_SF=tJPqoCtKtCvbfP0k-tcH244HqxbXq-r8fT7Z0lOnMp05EnnjKl5M3qKOqJraJJ585Gbb5tOhaKj-VDO_e6u-e55LjaRh2PcM2TPXQ458K4__Hn7zep0aqJtpbt-qJjbOfmQBbfoDQCTDfho5b63JyTLqLq5nBT5Ka26WVpQEQM5c8hje-4bMXPkkQN3T-TJQL6RkKTCyyx3cDn3oyToVXp0njGoTqj-eJbA8_CtQbPoHHnvNKCTV-JDthlbLetJyaR3lWCnbWJ5TMCo1bJQCe-DwKJJgJRLOW2Oi0KTFQxccShPC-tP-Ll_qW-Q2LPQfXKjabpQ73l02VhcOhhQ2Wf3DM-oat4RMW20jWl7mWPQDVKcnK4-Xj533DHjP; BDUSS=5TNmRvZnh2eUFXZDA5WXI5UG1HaXYwbzItaWt3SW5adjE1Nn5XbUVoWHZuYXBYQVFBQUFBJCQAAAAAAAAAAAEAAAC0JtydAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAO8Qg1fvEINXSU; Hm_lvt_a7708f393bfa27123a1551fef4551f7a=1468229606; Hm_lpvt_a7708f393bfa27123a1551fef4551f7a=1468229739; BDRCVFR[feWj1Vr5u3D]=I67x6TjHwwYf0; BDRCVFR[dG2JNJb_ajR]=mk3SLVN4HKm; BDRCVFR[-pGxjrCMryR]=mk3SLVN4HKm; cflag=15%3A3; H_PS_PSSID=1424_20515_13289_20536_20416_19861_14994_11792; csrftoken=xUgSHybzHeIwusN0GvMgB1ATeRrPgcV1
Поскольку сайт работает сейчас, у меня есть пять файлов cookie вместо 14, как показано выше:
![введите описание изображения здесь]()
Ответы
Ответ 1
Вот проблема: У вас не может быть файла cookie, в котором содержится либо символ '[' или ']'
Я нашел решение после @Todor ссылка, затем я узнал об этом SO post. В основном была ошибка в python 2.7.x, которая не анализирует файлы cookie с ']' в значении. Исправлена ошибка в 2.7.10.
Я подумал, что было бы хорошо подтвердить эту проблему. Поэтому я выкопал все файлы cookie и нашел один со следующим ключом/значением:
key: BDRCVFR[feWj1Vr5u3D]
val: I67x6TjHwwYf0
Итак, я ввел следующий файл cookie локально и отправил на сервер:
key: test
val: BDRCVFR[feWj1Vr5u3D]
Работала страница входа, что означает, что 2.7.10 действительно исправил ошибку.
Но потом я понял, что квадратные скобки на самом деле находятся в имени ключа не в значении, поэтому я сделал следующие тесты:
key: [
val: I67x6TjHwwYf0
и
key:]
val: I67x6TjHwwYf0
Оба файла cookie прерывают процесс входа в систему и отображают django:
CSRF cookie not set
Таким образом, либо django, либо библиотека python, на которую он опирается, не могут правильно разобрать куки с квадратными скобками в именах. Если кто-нибудь знает, где я должен отправить эту ошибку, пожалуйста, дайте мне знать (django или python).
Я хотел бы поблагодарить всех, кто оставил комментарий в OP: @raphv, @trinchet, @Phillip, @YPCrumble, @PeterBrittain и @Todor. Спасибо вам, ребята, за отладку со мной!
Обновление: 20 июля 2016 г.
Эта ошибка исправлена в Django 1.10, просто нужно дождаться выпуска
Обновление: 19 июля 2016 г.
I отправил отчет об ошибке в Django в результате этого сообщения. Мы увидим, будет ли он исправлен в будущих выпусках.
