vue-resource post数据时碰到Django csrf
公司最近用vue写前端,用vue-resource遇到的一些问题,现在记录下来。vue-resource post数据this.$http.post('/someUrl',data, [options]).then(function(response){// 响应成功回调}, function(response){// 响应错误回调});vue-resource 向后端请求a
公司最近用vue写前端,用vue-resource遇到的一些问题,现在记录下来。
vue-resource post数据
this.$http.post('/someUrl',data, [options]).then(function(response){
// 响应成功回调
}, function(response){
// 响应错误回调
});
vue-resource 向后端请求api, 公司的后台是用Django 开发的,Django为了防止跨站请求伪造,即csrf攻击,提供了CsrfViewMiddleware中间件来防御csrf攻击。
我们在html 页面里加入{% csrf %}
来让django渲染出一个csrf的标签
(如果是form 提交表单的话,我们要把这个标签加在form标签内,如果是用xhr提交的话写在html页面里就可以了)
不写在form 表单内,但是实现效果是一样的,我们都需要在post 的表单中提供csrftoken
我们在vue里要传送的的data 里要加上csrf的key
data{
csrfmiddlewaretoken: '{{ csrf_token }}'
}
这样django解析表单时会解析到csrf_token, 我们post的数据就不会遇到403 forbidden了。
其实这样是投机取巧的行为,这样虽然django 也能识别,但是遇到复杂的数据时就不行了,比如数组,vue-resource post 数组的时候, 因为我之前在post的option里加了一个option {emulateJSON: true},这样vue-resource 在post数据时,会把data 转换成 application/x-www-form-urlencoded
表单格式,但是这样的话,post 的数组就会被解析成arrry[0]item
这样的话,后端是不识别的,会报错。
解决方式查到是把csrftoken 放在报头里,data 传数据,具体解决方式是加一条
Vue.http.headers.common['X-CSRFToken'] = $("input[name='csrfmiddlewaretoken']").val()
其中$("input[name='csrfmiddlewaretoken']").val()
是取django 的{% csrf %}
在模板解析后生成的input里的csrftoken。
其中报头的话django 在后台解析的时候会自动加上HTTP_
的前缀,所以说我们的报头是 X-CSRFToken
就可以了。
更多推荐
所有评论(0)