CSRF com Django, React + Redux usando Axios
Este é um projeto educacional, não para produção. Eu não pretendia ter logins de usuário como parte disso.
Posso fazer chamadas POST para o Django com um token CSRF sem ter logins de usuário? Posso fazer isso sem usar o jQuery? Estou fora da minha profundidade aqui e, certamente, confluindo alguns conceitos.
Para o lado do JavaScript, achei issoredux-csrf pacote. Não sei como combiná-lo com o meuPOST
ação usando o Axios:
export const addJob = (title, hourly, tax) => {
console.log("Trying to addJob: ", title, hourly, tax)
return (dispatch) => {
dispatch(requestData("addJob"));
return axios({
method: 'post',
url: "/api/jobs",
data: {
"title": title,
"hourly_rate": hourly,
"tax_rate": tax
},
responseType: 'json'
})
.then((response) => {
dispatch(receiveData(response.data, "addJob"));
})
.catch((response) => {
dispatch(receiveError(response.data, "addJob"));
})
}
};
No lado do Django, eu liesta documentação no CSRF, eesta em trabalhar geralmente com visualizações baseadas em classe.
Aqui está a minha opinião até agora:
class JobsHandler(View):
def get(self, request):
with open('./data/jobs.json', 'r') as f:
jobs = json.loads(f.read())
return HttpResponse(json.dumps(jobs))
def post(self, request):
with open('./data/jobs.json', 'r') as f:
jobs = json.loads(f.read())
new_job = request.to_dict()
id = new_job['title']
jobs[id] = new_job
with open('./data/jobs.json', 'w') as f:
f.write(json.dumps(jobs, indent=4, separators=(',', ': ')))
return HttpResponse(json.dumps(jobs[id]))
Eu tentei usar ocsrf_exempt
decorador apenas para não ter que se preocupar com isso por enquanto, mas não parece ser assim que funciona.
eu já adicionei{% csrf_token %}
para o meu modelo.
Este é meugetCookie
método (roubado dos documentos do Django):
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie !== '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = cookies[i].trim();
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) === (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
Eu li que preciso alterar as informações do Axios CSRF:
var axios = require("axios");
var axiosDefaults = require("axios/lib/defaults");
axiosDefaults.xsrfCookieName = "csrftoken"
axiosDefaults.xsrfHeaderName = "X-CSRFToken"
Onde coloco o token real, o valor que recebo da chamadagetCookie('csrftoken')
?