CSRF con Django, React + Redux usando Axios
Este es un proyecto educativo, no para producción. No tenía la intención de tener inicios de sesión de usuario como parte de esto.
¿Puedo hacer llamadas POST a Django con un token CSRF sin tener inicios de sesión de usuario? ¿Puedo hacer esto sin usar jQuery? Estoy fuera de mi profundidad aquí, y seguramente combinando algunos conceptos.
Para el lado de JavaScript, encontré estoredux-csrf paquete. No estoy seguro de cómo combinarlo con miPOST
acción usando Axios:
export const addJob = (title, hourly, tax) => {
console.log("Trying to addJob: ", title, hourly, tax)
return (dispatch) => {
dispatch(requestData("addJob"));
return axios({
method: 'post',
url: "/api/jobs",
data: {
"title": title,
"hourly_rate": hourly,
"tax_rate": tax
},
responseType: 'json'
})
.then((response) => {
dispatch(receiveData(response.data, "addJob"));
})
.catch((response) => {
dispatch(receiveError(response.data, "addJob"));
})
}
};
En el lado de Django, he leídoesta documentación en CSRF, yesta en general trabajando con vistas basadas en clases.
Aquí está mi punto de vista hasta ahora:
class JobsHandler(View):
def get(self, request):
with open('./data/jobs.json', 'r') as f:
jobs = json.loads(f.read())
return HttpResponse(json.dumps(jobs))
def post(self, request):
with open('./data/jobs.json', 'r') as f:
jobs = json.loads(f.read())
new_job = request.to_dict()
id = new_job['title']
jobs[id] = new_job
with open('./data/jobs.json', 'w') as f:
f.write(json.dumps(jobs, indent=4, separators=(',', ': ')))
return HttpResponse(json.dumps(jobs[id]))
Traté de usar elcsrf_exempt
decorador para no tener que preocuparse por esto por ahora, pero no parece ser así como funciona.
he añadido{% csrf_token %}
a mi plantilla
Este es migetCookie
Método (robado de documentos de Django):
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = cookies[i].trim();
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
he leído que necesito cambiar la información de Axios CSRF:
var axios = require("axios");
var axiosDefaults = require("axios/lib/defaults");
axiosDefaults.xsrfCookieName = "csrftoken"
axiosDefaults.xsrfHeaderName = "X-CSRFToken"
¿Dónde pego el token real, el valor que obtengo al llamargetCookie('csrftoken')
?