1. ホーム
  2. django

[解決済み] CSRF 検証に失敗しました。リクエストは中断されました。

2022-02-19 21:55:32

質問

Django 1.3 Web Development を使っているのですが、ログイン時に以下のエラーが発生します。

Forbidden (403)
CSRF verification failed. Request aborted.
Help
Reason given for failure:
    CSRF token missing or incorrect.

これは私のsettings.py Included APPSです。この本に書いてあるとおりになっています。

INSTALLED_APPS = (
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.sites',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    # Uncomment the next line to enable the admin:
    'django.contrib.admin',
    # Uncomment the next line to enable admin documentation:
    # 'django.contrib.admindocs',
    'djangocricket.Cricket',
    'djangocricket.cms'
)

本には、django.contrib.auth.views.login を含めるべきだと書かれていますが、私はそれを含めています。

urlpatterns = patterns('',
    # Examples:
    url(r'^$', 'djangocricket.Cricket.views.index', name='default'),
    url(r'^user/(\w+)/$', 'djangocricket.Cricket.views.user_home', name='user home'),
    url(r'^login/$', 'django.contrib.auth.views.login'),
    # url(r'^djangocricket/', include('djangocricket.foo.urls')),

    # Uncomment the admin/doc line below to enable admin documentation:
    #url(r'^admin/doc/', include('django.contrib.admindocs.urls')),

    # Uncomment the next line to enable the admin:
    url(r'^news/', 'djangocricket.cms.views.index', name='index'),
    #url(r'^news/(?P<slug>[^\.]+).html', 'djangocricket.cms.views.detail', name='get_single_news_item'),
    url(r'^admin/', include(admin.site.urls)),
)

と私の登録/ログイン.html ... 本からコピーペーストしたものです。

<html>
<head>
    <title>Django Bookmarks - User Login</title>
</head>
<h1>User Login</h1>
{% if form.errors %}
    <p>Your username and password didn't match.
        Please try again.</p>
{% endif %}
<form method="post" action=".">
    <p><label for="id_username">Username:</label>
        {{ form.username }}</p>
    <p><label for="id_password">Password:</label>
        {{ form.password }}</p>
    <input type="hidden" name="next" value="/" />
    <input type="submit" value="login" />
</form>
</body>
</html>

何が足りないのでしょうか?

解決方法は?

を追加する必要があります。 {% csrf_token %} テンプレートタグの子として form 要素を Django テンプレートに追加します。

この方法で、テンプレートはCSRFトークンに値が設定されたhidden要素をレンダリングします。Django サーバがフォームリクエストを受信すると、 Django はトークンがフォームでレンダリングされた値と一致するかどうかを検証します。これは、POST リクエスト (つまり、データを変更するリクエスト) が認証されたクライアントセッションから発信されていることを確認するために必要です。

詳しくは、以下のDjangoのドキュメントをご覧ください。 https://docs.djangoproject.com/en/dev/ref/csrf/

クロスサイトリクエストフォージェリ攻撃の概要について説明します。 https://www.owasp.org/index.php/CSRF