小贝子编程

Django Cloudflare Proxy "CSRF Verification Failed"



我正试图通过工作者通过Cloudflare代理我的Django应用程序。

设置如下:

example.com/app/*转发到我的Django站点~其他一切~转发到我的Webflow网站

到目前为止,这个部分正在发挥作用!然而,我无法让Django接受CSRF验证。

以下是请求的标题(出于标识目的而删除(

{
'HTTP_HOST': 'fluent-spring.uc.r.appspot.com',
'HTTP_X_FORWARDED_FOR': '70.192.78.2',
'HTTP_X_FORWARDED_PROTO': 'https',
'HTTP_FORWARDED': 'for="172.70.0.123";proto=https',
'HTTP_CF_WORKER': 'example.com',
'HTTP_UPGRADE_INSECURE_REQUESTS': '1',
'HTTP_CF_RAY': '6d2a89b3435e8c3b-EWR',
'HTTP_CF_VISITOR': '{"scheme":"https"}',
'HTTP_CF_EW_VIA': '15',
'HTTP_CDN_LOOP': 'cloudflare; subreqs=1',
'HTTP_ACCEPT_LANGUAGE': 'en-US,en;q=0.9',
'HTTP_ACCEPT': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',
'HTTP_CACHE_CONTROL': 'no-cache',
'HTTP_REFERER': 'https://fluent-spring.uc.r.appspot.com/',
'HTTP_USER_AGENT': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.99 Safari/537.36',
'HTTP_CF_CONNECTING_IP': '70.19.78.2',
'HTTP_ORIGIN': 'https://www.example.com',
'HTTP_PRAGMA': 'no-cache',
'HTTP_SEC_CH_UA': '" Not;A Brand";v="99", "Google Chrome";v="97", "Chromium";v="97"',
'HTTP_SEC_CH_UA_MOBILE': '?0',
'HTTP_SEC_CH_UA_PLATFORM': '"macOS"',
'HTTP_SEC_FETCH_DEST': 'document',
'HTTP_SEC_FETCH_MODE': 'navigate',
'HTTP_SEC_FETCH_SITE': 'same-origin',
'HTTP_SEC_FETCH_USER': '?1',
'HTTP_X_CLOUD_TRACE_CONTEXT': '959632cd27b84e7aad1a5e3c71f1d8a3/18242229191417730943',
'HTTP_COOKIE': 'csrftoken=GHjnkrOrhave8EJ1eayWxxaSZiaxu5JJcJAaI1dmzc5Tdnb9T1YwaXvYUDr5ZQ83',
'HTTP_X_APPENGINE_CITYLATLONG': '40.735657,-74.172367',
'HTTP_X_APPENGINE_COUNTRY': 'US',
'HTTP_X_APPENGINE_CITY': 'newark',
'HTTP_X_APPENGINE_REGION': 'nj',
'HTTP_TRACEPARENT': '00-959632cd27b84e7aad1a5e3c71f1d8a3-fd296acc51b7177f-00',
'HTTP_X_APPENGINE_TIMEOUT_MS': '599998',
'HTTP_X_APPENGINE_HTTPS': 'on',
'HTTP_X_APPENGINE_USER_IP': '172.70.230.1',
'HTTP_X_APPENGINE_API_TICKET': 'ChBkODIxOGU1YjRmMWE5NDlmGhMI2KyFxePK9QIVY049Ah0P8gjM',
'HTTP_ACCEPT_ENCODING': 'gzip',
'HTTP_X_APPENGINE_REQUEST_LOG_ID': '61eecfb100ff02c818a28bb9f40001737e666c75656e742d737072696e672d3333303332310001323032323031323474313035373136000100',
'HTTP_X_APPENGINE_DEFAULT_VERSION_HOSTNAME': 'fluent-spring-.uc.r.appspot.com'
}

我在日志中得到的错误是

Forbidden (CSRF token missing or incorrect.): /app/sadmin/login/

屏幕上是:

CSRF verification failed. Request aborted.

我的设置.py中的CSRF设置是:

CSRF_TRUSTED_ORIGINS = [
"www.example.com",
"example.com",
"kevin-dot-fluent-spring.uc.r.appspot.com",
"fluent-spring.uc.r.appspot.com",
"localhost",
"https://www.example.com",
"https://example.com",
]

如果您已经安装了django-cors头文件,那么从文档-

在Django设置中配置中间件的行为。你必须设置以下三个设置中的至少一个:

  1. CORS_ALLOWED_ORIGINS
  2. CORS_ALLOWED_ORIGIN_REGEXES
  3. CORS_ALLOW_ALL_ORIGINS

因此,您可以尝试将CSRF_TRUSTED_ORIGINS更改为这三个选项中的任何一个(CORS_ALLOWED_ORIGINS(。

我的项目有CORS_ORIGIN_WHITELIST,现在我也必须寻找它。

错误最终出现在Cloudflare代理工作程序代码中——

正确的Cloudflare代理工作程序是

addEventListener("fetch", (event) => {
event.respondWith(handleRequest(event.request));
});
async function handleRequest(request) {
let url = new URL(request.url);
// where we're proxying to
url.hostname = "fluent-spring.uc.r.appspot.com";
const newRequest = new Request(url.href, request);
newRequest.headers.set("Referer", url.href);
return await fetch(newRequest);
}

相关内容

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium