인프런 커뮤니티 질문&답변

안녕하세요. 독자님.

Q1. 독자님 의견이 맞습니다.

최초에 브라우저에 csrf token 이 없는 상태에서 POST 요청시 에러가 나겠군요.

장고는 이런 경우를 대비해서, ensure_csrf_cookie 데코레이터를 제공하고 있습니다. csrf token을 생성해주는 데코레이터 입니다.

우리는 3개 페이지를 갖고 있으므로 각 페이지를 보여주는 뷰에, 아래처럼 데코레이터를 적용하면 됩니다.

from django.utils.decorators import method_decorator

from django.views.decorators.csrf import ensure_csrf_cookie

@method_decorator(ensure_csrf_cookie, name='dispatch')

class HomeView(TemplateView):

    (이하 동일)

* PostListTV(TemplateView), PostDetailTV(TemplateView) 에도 동일하게 적용 바랍니다.

Q2. 아닙니다. 로그인, 로그아웃은 csrftoken 이 아니라, sessionid 쿠키를 사용하므로, 현재 소스가 맞습니다.

감사합니다.

이것도 독자님 의견이 맞습니다. 좋은 지적 감사합니다.

최종 소스에서는 불필요하지만,

devServer 만으로 테스트하기 위한 임시 코드가 필요하겠네요. 아래처럼 해보세요.

------------------------------------------------------------

~/api/views.py 파일의 ApiPostLV(BaseListView) 에도 데코레이터를 적용한 후에,

POSTLIST 메뉴를 한번 클릭하면 csrf token 이 생성됩니다.

강사님 한가지 이슈가 더 있는 듯 한데요,
강사님 말씀대로 Decorator를 추가하니 Prod 버전에서는 문제 없이 잘 동작합니다.

그러나 Webpack Devserver 로 개발모드로 진행 시에, 동일한 csrf 관련 403 응답이 발생하는데요,
마찬가지로 CSRF 관련 쿠키 값이 존재하지 않습니다.

제 생각에는 Devserver 동작 시, 서버 사이드 쪽에서 Serving한 템플릿을 바라보는 것이 아니고,
다른 영역(ex. 메모리)에 올라간 템플릿을 바라보아서 Decorator 가 안먹히는 듯 한데요,
(이렇게 생각한 이유는 Hot reloader 등 이러한 기능이 동작하려면 메모리 상에 존재하지 않을까? 해서 입니다.)

axios.defaults.xsrfCookieName = 'csrftoken'
axios.defaults.xsrfHeaderName = 'X-CSRFToken'

Frontend 소스에 해당 코드가 존재함에도 같은 이슈가 발생하네요.
Axios를 테스트로 Window 전역 객체에 저장해서 확인했을 때, 상기 위 값이 아래와 같이 잘 반영되어 있습니다.

개발 모드로 Devserver 운용 시에는, csrf 관련 토큰을 강제 또는 수동(관리자 페이지 진입 후, 작업 등)으로 해야만
가능한가요??

아니면 혹시 다른 방법이 있는지 궁금합니다.
개인적으로도 서칭 해보겠습니다.

감사합니다!

친절하고 자세한 답변 감사합니다.