X-редактируемое встроенное редактирование в Django — как получить защиту CSRF?

Я пытаюсь получить X-Editable встроенное редактирование модели в Django. Я просто пытаюсь изменить атрибуты экземпляра модели (в данном случае имя объекта набора данных).

Я не уверен, как написать представление, чтобы оно правильно перехватывало информацию из ajax-запроса:

POST /datasets/9/update_name/
{
    pk:    3            //primary key (record id)
    value: 'The Updated Name' //new value
}

Затем сохраните новое имя в объекте набора данных.

urls.py

# ex: /datasets/3/update_name
url(r'^(?P<pk>\d+)/update_name/$', update_name ,
    name='update_name'),

Detail.html

<h1 class="page-title center">
    <a href="#" id="datasetName">{{ dataset.name }}</a>
</h1>
<script>
$('#datasetName').editable({
  type: 'text',
  pk: {{ dataset.pk }},
  url: '{% url 'datasets:update_name' dataset.pk %}',
  title: 'Edit dataset name'
  params: { csrf: '{% csrf_token %}'} # // This isn't working
});
</script>

просмотры.py

def update_name(request, dataset_id):   
    # ... Update Dataset object ...
    json = simplejson.dumps(request.POST)
    return HttpResponse(json, mimetype='application/json')

ИЗМЕНИТЬ:

Я считаю, что проблема в том, что нет защиты от CSRF. Как я могу добавить это в X-редактируемую форму?

** РЕДАКТИРОВАТЬ 2:

Я также пробовал это, согласно документам:

<h1 class="page-title center">
  <a href="#" id="datasetName">{{ dataset.name }}</a>
</h1>

<script>
// using jQuery
function getCookie(name) {
  var cookieValue = null;
  if (document.cookie && document.cookie != '') {
    var cookies = document.cookie.split(';');
    for (var i = 0; i < cookies.length; i++) {
      var cookie = jQuery.trim(cookies[i]);
          // Does this cookie string begin with the name we want?
          if (cookie.substring(0, name.length + 1) == (name + '=')) {
            cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
            break;
          }
        }
      }
      return cookieValue;
    }
    var csrftoken = getCookie('csrftoken');

    function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({ 
 beforeSend: function(xhr, settings) {
   function getCookie(name) {
     var cookieValue = null;
     if (document.cookie && document.cookie != '') {
       var cookies = document.cookie.split(';');
       for (var i = 0; i < cookies.length; i++) {
         var cookie = jQuery.trim(cookies[i]);
                   // Does this cookie string begin with the name we want?
                   if (cookie.substring(0, name.length + 1) == (name + '=')) {
                     cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                     break;
                   }
                 }
               }
               return cookieValue;
             }
             if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
           // Only send the token to relative URLs i.e. locally.
           xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
         }
       } 
     });
$('#datasetName').editable({
  type: 'text',
  pk: {{ dataset.pk }},
  url: '{% url 'datasets:update_name' dataset.pk %}',
  title: 'Edit dataset name',
});
</script>

django ajax x-editable

Steve L 08.12.2012 источник

comment

Спасибо, что поделились тем, что вы делаете, но в чем вопрос? - Krzysztof Szularz 09.12.2012

comment

Извиняюсь. Отредактировано. Я просто не уверен, как написать представление для захвата и сохранения информации из запроса. - Steve L 09.12.2012

comment

Вызывается ли код просмотра? Как выглядит request.POST? Верно ли request.is_ajax()? Получаете ли вы ответ об успехе во внешнем интерфейсе? Каков результат form.is_valid()? - dokkaebi 09.12.2012

comment

Хм, похоже, метод post в DatasetDetail даже не вызывается. Я попытался поместить print repr(request.POST) в метод публикации выше, и ничего не появилось, когда я попытался внести встроенное редактирование. Однако в выводе сервера я вижу, что был сделан запрос POST: [08/Dec/2012 16:33:10] POST /datasets/3/ HTTP/1.1 403 152221 - Steve L 09.12.2012

Ответы (4)

arrow_upward
27
arrow_downward

Вау, я столько времени потратил на эту проблему!

Версия короткого списка будет:

<a href="#" id="projectname{{project.id}}" data-type="text" data-pk="{{project.id}}" data-title="Enter project name" data-url="{% url 'updateproject' project.id %}" data-params="{csrfmiddlewaretoken:'{{csrf_token}}'}">{{ project.name }}</a>

А потом позвони

$('#projectname{{project.id}}').editable();

johnbarr 28.01.2014

comment

Благодарю вас! У меня была такая же проблема! - CamelBlues; 19.07.2014

comment

Спасибо и вам :) И замечательным ребятам из x-editable - Andrew Backer; 08.08.2014

arrow_upward
4
arrow_downward

Правильное имя поля формы csrf — csrfmiddlewaretoken.

Krzysztof Szularz 09.12.2012

arrow_upward
2
arrow_downward

Я столкнулся с этим в своем PHP-проекте и решил его с помощью параметра ajaxOptions. Взял CSRF-токен из метатега и добавил его в заголовок запроса.

ajaxOptions: {
  dataType: 'json',
  beforeSend: function(xhr){
    xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]')
       .attr('content'));
    }           
}

Shubhamoy 04.05.2016

arrow_upward
0
arrow_downward

Я думаю, что правильный, особенно если вы работаете с рельсами, чтобы добавить

        ajaxOptions: {
            beforeSend: function(xhr) {xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))}, 
        },

внутри редактируемой функции быть

        $('#projectname').editable({
            showbuttons: 'bottom',
            ajaxOptions: {
                beforeSend: function(xhr) {xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))}, 
            },              
            type: 'textarea',
            url: '/url/url'

        });

Mohamed Sami 28.11.2018

X-редактируемое встроенное редактирование в Django — как получить защиту CSRF?

Ответы (4)

Похожие вопросы