Почему токен csrf должен быть помещен в тело POST запроса, а не в заголовки в Django Rest Framework?

Я хотел бы узнать причину, по которой мы должны поместить токен csrf в body для POST-запросов (ключ csrfmiddlewaretoken) и в headers для остальных (ключ X-CSRFToken)?

You can use the header in case of a POST request as well. Indeed, this is often done for POST requests with AJAX (and other requests with side-effects). This is demonstrated in the Setting the token on the AJAX request section of the documentation ^[Django-doc]:

Наконец, вам нужно установить заголовок для вашего AJAX-запроса. Используя fetch() API:
const request = new Request(
    /* URL */,
    {
        method: 'POST',
        headers: {'X-CSRFToken': csrftoken},
        mode: 'same-origin' // Do not send CSRF token to another domain.
    }
);
fetch(request).then(function(response) {
    // ...
});

Вернуться на верх

Последние вопросы и ответы

A problem occurs when adding a new foreign key field to a model

Best place to initialize a variable from a postgres database table after django project startup

Django API JSONfield fetches an object that I can't use .map to parse and then build a chart

Logout, Clear Cache, and Prevent Back Navigation to Previous Window

ModuleNotFoundError attempting to load development settings

KeyError: 'admin' even when admin is under installed apps

Unable to retrieve Authjs (NextAuth 5) access token server-side in Next.js 15 with Django backend

django-allauth MFA cannot add Webauthn security key

if condition with field value don't work in Django template

Get table changes details without using triggers in postgres

Почему токен csrf должен быть помещен в тело POST запроса, а не в заголовки в Django Rest Framework?

Последние вопросы и ответы

Рекомендуемые записи по теме