Question

The bounty expires in 6 days. Answers to this question are eligible for a +100 reputation bounty. Axil is looking for a canonical answer:

Would like to setup correctly the SessionAuthentication to work on Docker, Django, React.

I ved Creat this Django & React Project ( https://github.com/axilaris/docker-django-react-celery-redis); I m在接触Authentication方面的困难。你们可以很容易地测试和脱离我的法典:

docker-compose build
docker-compose up

我在进入用户/用户时不断获得准入问题(可以登记、登录)

backend_container   | Forbidden: /api/user
backend_container   | WARNING:django.request:Forbidden: /api/user

You can look more the logs here: https://gist.github.com/axilaris/7b7a5c50f4f7112b440eaf8ef8100d9d In my django api code (backend/user_api/views.py):

        class UserView(APIView):
            permission_classes = (permissions.IsAuthenticated,)
            authentication_classes = (SessionAuthentication,)
            def get(self, request):
                serializer = UserSerializer(request.user)
                return Response({ user : serializer.data}, status=status.HTTP_200_OK)
    
    
    
    In settings.py:
    
    CORS_ALLOWED_ORIGINS = [
         http://localhost ,
         http://127.0.0.1 ,
         http://0.0.0.0 ,
    ]
    
    CORS_ALLOW_CREDENTIALS = True
    
    INSTALLED_APPS = [
    ..
         corsheaders ,
    ]
    
    
    MIDDLEWARE = [
         corsheaders.middleware.CorsMiddleware ,
    ...
    ]

反应:

    axios.defaults.xsrfCookieName =  csrftoken ;
    axios.defaults.xsrfHeaderName =  X-CSRFToken ;
    axios.defaults.withCredentials = true;
    
      useEffect(() => {
        client.get("/api/user")
        .then(function(res) {
          setCurrentUser(true);
        })
        .catch(function(error) {
          setCurrentUser(false);
        });
      }, []);

这里是我的网络标志:https://gist.github.com/axilaris/f5076f8a1e009d77df78de562259427e 。

/api/login确实提供了 c和 session。但是,这一 co子在(api/user)中没有使用。

因此,每当Ilogin和I在浏览器上重载回当地东道方之后,它就禁止(api/user)进入日志。我感到,索马里再次解放联盟的成立是正确的,其全权证书在背后和前身都是真实的。

UPDATE from ChatGPT (questing how to make it work when with HttpOnly):

If you can t access the session cookie from the client-side, it s probably because the cookie has the HttpOnly flag set. This is a security feature that prevents JavaScript from accessing the cookie, helping mitigate cross-site scripting attacks.

Answer 1

你:

Client (React) --> [HTTP Request with CSRF Token] --> Django Backend
                                                  /
                                                  |
                                                  +--- [Session Authentication & CSRF Validation]

SessionAuthentication to work, ensures Django s session cookie (sessionid/code>) and CSRF token cookie (csrftoken/code> www.un.org/chinese/sc/presidency.asp http://www.reddit.com/r/django/comments/zwsaf2/how_to_use_ only_cookied_for_drf/"rel=“nofollow noretinger”>。


自会议以来(sessionid) 改性应用不应与它直接互动。 相反,确保<条码>轴心/条码>组合正确地包括所有请求的全权证书。 这一部分似乎在您的设置中进行了正确的配置(axios.defaults.withCredentials set to true)。
<代码>制定。 应包括:
SESSION_COOKIE_HTTPONLY = True  # Default value is True, which is recommended
SESSION_COOKIE_SAMESITE =  Lax  # Consider  None  if strictly necessary and secure is set
SESSION_COOKIE_SECURE = True    # Set to True if you are using HTTPS

关于CSRF表:
CSRF_COOKIE_HTTPONLY = False    # Should generally be False to allow JavaScript to read the value
CSRF_COOKIE_SECURE = True       # Set to True if you are using HTTPS

设置<条码>CSRF_COOKIE_HTTPONLY至False将使你的申请更容易受到特别安全局的攻击,因为它使 Java本能够进入CSRF表。 一种更好的做法是将CSRF保留到HttpOnly上,并从一个单独的APIC端点获得,目的是明确恢复CSRF,或者将CSRF添加到你的网页上,并将 Java读成。
Although... as documented since 2016 in django/django PR 7700 and commit c27104a

指定CSRFCookie为 HttpOnly don t 提供任何实际保护,因为CSRF只是为了保护不受交叉攻击。 如果攻击者可以通过Juane读书,他们就象浏览器知道的那样,已经回到同一个领域,因此他们可以做任何事情。 (XSS是比CSRF大得多的漏洞。)

在使南方市场能够进入时考虑的主要风险是:XSS—— 交叉网址:。 如果你的申请容易受特别安全局的管辖,攻击者可充分利用这一手段,完全绕过欧洲安全局的保护。 因此,在做出任何让南方市场暴露于 Java本的决定的同时,还应制定严格的科学、技术和物质缓解战略。 例如,见Django XSS: 范例和预防,StackHawk。

• 测试获取通用报告格式的流入量,并在日志上做成像。核实React随后提出的申请包括自动在头脑中标出的CSRF,以及自动在座标(尽管 Java不能读到sessionid)。页: 1 HttpOnlycode。

友情链接