3回答

HUH函数

编辑：阅读您的服务器日志。服务器可能会准确地告诉您错误是什么。确保启用调试。没有充分理由，403 错误并不是真正从服务器发出的——而且这个原因通常特定于您的应用程序。403 通常是权限问题：我们知道你是谁，但你无权做你想做的事。可能存在（或缺失）标头阻止请求进行任何更改（在您的情况下为 POST 请求）。例如，您的服务器可能正在设置 cookie 以防止 CSRF 攻击。很多时候服务器不会验证 GET 请求上的令牌，这可以解释为什么 GET 请求适用于您的情况但不适用于 POST 请求。如果你可以搜索你的服务器代码，我愿意有这样的伪代码：if (requestIsMissingCSRFToken()) {   throw new Error(STATUS.FORBIDDEN) }

0 0

0

UYOU

我只是有同样的问题。非常感谢您发布此信息。我还在使用 Django 后端开发 Chrome 扩展。对我来说，从“DEFAULT_AUTHENTICATION_CLASSES”中删除“rest_framework.authentication.SessionAuthentication”就可以了，但我保留了“oauth2_provider.contrib.rest_framework.OAuth2Authentication”。根据这篇中篇文章， “rest_framework.authenication.SessionAuthentication”仅在您想保留可浏览的 API 时才需要。我启用了 CSRF 和 CORS。所以我认为我的设置非常安全。下面是我的 settings.py 文件。import os# Build paths inside the project like this: os.path.join(BASE_DIR, ...)BASE_DIR = os.path.dirname(os.path.dirname(os.path.abspath(__file__)))# Quick-start development settings - unsuitable for production# See https://docs.djangoproject.com/en/2.2/howto/deployment/checklist/# SECURITY WARNING: keep the secret key used in production secret!SECRET_KEY = '*xbmoy2yt4%l=od-dm*w$dxpl+rb(n#rmv0n&0x$a@+io!j+++'# SECURITY WARNING: don't run with debug turned on in production!DEBUG = TrueALLOWED_HOSTS = []# Application definitionINSTALLED_APPS = [    'audio.apps.AudioConfig',    'django.contrib.admin',    'django.contrib.auth',    'django.contrib.contenttypes',    'django.contrib.sessions',    'django.contrib.messages',    'django.contrib.staticfiles',    'accounts.apps.AccountsConfig',    'rest_framework',    'oauth2_provider',    #'corsheaders',]MIDDLEWARE = [    #'corsheaders.middleware.CorsMiddleware',    'django.middleware.security.SecurityMiddleware',    'django.contrib.sessions.middleware.SessionMiddleware',    'django.middleware.common.CommonMiddleware',    'django.middleware.csrf.CsrfViewMiddleware',    'django.contrib.auth.middleware.AuthenticationMiddleware',    'django.contrib.messages.middleware.MessageMiddleware',    'django.middleware.clickjacking.XFrameOptionsMiddleware',    'oauth2_provider.middleware.OAuth2TokenMiddleware']ROOT_URLCONF = 'zeno.urls'TEMPLATES = [    {        'BACKEND': 'django.template.backends.django.DjangoTemplates',        'DIRS': [os.path.join(BASE_DIR, 'templates')],        'APP_DIRS': True,        'OPTIONS': {            'context_processors': [                'django.template.context_processors.debug',                'django.template.context_processors.request',                'django.contrib.auth.context_processors.auth',                'django.contrib.messages.context_processors.messages',            ],        },    },]WSGI_APPLICATION = 'zeno.wsgi.application'CORS_ORIGIN_ALLOW_ALL = True# Database# https://docs.djangoproject.com/en/2.2/ref/settings/#databasesDATABASES = {    'default': {        'ENGINE': 'django.db.backends.sqlite3',        'NAME': os.path.join(BASE_DIR, 'db.sqlite3'),    }}# Password validation# https://docs.djangoproject.com/en/2.2/ref/settings/#auth-password-validatorsAUTH_PASSWORD_VALIDATORS = [    {        'NAME': 'django.contrib.auth.password_validation.UserAttributeSimilarityValidator',    },    {        'NAME': 'django.contrib.auth.password_validation.MinimumLengthValidator',    },    {        'NAME': 'django.contrib.auth.password_validation.CommonPasswordValidator',    },    {        'NAME': 'django.contrib.auth.password_validation.NumericPasswordValidator',    },]# Internationalization# https://docs.djangoproject.com/en/2.2/topics/i18n/LANGUAGE_CODE = 'en-us'TIME_ZONE = 'UTC'USE_I18N = TrueUSE_L10N = TrueUSE_TZ = TrueCORS_ORIGIN_ALLOW_ALL = False# Static files (CSS, JavaScript, Images)# https://docs.djangoproject.com/en/2.2/howto/static-files/STATIC_URL = '/static/'LOGIN_REDIRECT_URL = 'home'LOGOUT_REDIRECT_URL = 'home'PROJECT_ROOT = os.path.normpath(os.path.dirname(__file__))STATICFILES_DIRS = (    os.path.join(PROJECT_ROOT, '..', 'static'),)REST_FRAMEWORK = {    'DEFAULT_AUTHENTICATION_CLASSES': (        'oauth2_provider.contrib.rest_framework.OAuth2Authentication',        #'rest_framework.authentication.SessionAuthentication', # To keep the Browsable API    ),    'DEFAULT_PERMISSION_CLASSES': (        'rest_framework.permissions.IsAuthenticated',    ),    # 'DEFAULT_PAGINATION_CLASS': (    #     'rest_framework.pagination.PageNumberPagination',    # ),    # 'DEFAULT_PERMISSION_CLASSES': (    #     'rest_framework.permissions.IsAuthenticated',    # ),    #'PAGE_SIZE': 10}AUTHENTICATION_BACKENDS = (    'django.contrib.auth.backends.ModelBackend', # To keep the Browsable API    'oauth2_provider.backends.OAuth2Backend',)#STATIC_ROOT = os.path.join(BASE_DIR, "static/")ALLOWED_HOSTS = ['localhost', '127.0.0.1', 'test.com']AUTH_USER_MODEL = 'accounts.CustomUser'EMAIL_BACKEND = 'django.core.mail.backends.console.EmailBackend'#EMAIL_BACKEND = "django.core.mail.backends.filebased.EmailBackend"#EMAIL_FILE_PATH = os.path.join(BASE_DIR, "sent_emails")

0 0

0

缥缈止盈

问题出在 Django REST 框架中。显然它默认启用了一些身份验证类。禁用/将它们设置为空数组settings.py将摆脱烦人的“403 Forbidden”错误。REST_FRAMEWORK = {    'DEFAULT_AUTHENTICATION_CLASSES': [    ]}编辑：我不知道这有多安全，但至少它有效。

0 0

0