작성한 질문수 1

1

안녕하세요. 독자님.

Q1. 독자님 의견이 맞습니다.

최초에 브라우저에 csrf token 이 없는 상태에서 POST 요청시 에러가 나겠군요.

장고는 이런 경우를 대비해서, ensure_csrf_cookie 데코레이터를 제공하고 있습니다. csrf token을 생성해주는 데코레이터 입니다.

우리는 3개 페이지를 갖고 있으므로 각 페이지를 보여주는 뷰에, 아래처럼 데코레이터를 적용하면 됩니다.

from django.utils.decorators import method_decorator

from django.views.decorators.csrf import ensure_csrf_cookie

@method_decorator(ensure_csrf_cookie, name='dispatch')

class HomeView(TemplateView):

    (이하 동일)

* PostListTV(TemplateView), PostDetailTV(TemplateView) 에도 동일하게 적용 바랍니다.

Q2. 아닙니다. 로그인, 로그아웃은 csrftoken 이 아니라, sessionid 쿠키를 사용하므로, 현재 소스가 맞습니다.

감사합니다.

0

이것도 독자님 의견이 맞습니다. 좋은 지적 감사합니다.

최종 소스에서는 불필요하지만,

devServer 만으로 테스트하기 위한 임시 코드가 필요하겠네요. 아래처럼 해보세요.

------------------------------------------------------------

~/api/views.py 파일의 ApiPostLV(BaseListView) 에도 데코레이터를 적용한 후에,

POSTLIST 메뉴를 한번 클릭하면 csrf token 이 생성됩니다.

0

강사님 한가지 이슈가 더 있는 듯 한데요,
강사님 말씀대로 Decorator를 추가하니 Prod 버전에서는 문제 없이 잘 동작합니다.

그러나 Webpack Devserver 로 개발모드로 진행 시에, 동일한 csrf 관련 403 응답이 발생하는데요,
마찬가지로 CSRF 관련 쿠키 값이 존재하지 않습니다.

제 생각에는 Devserver 동작 시, 서버 사이드 쪽에서 Serving한 템플릿을 바라보는 것이 아니고,
다른 영역(ex. 메모리)에 올라간 템플릿을 바라보아서 Decorator 가 안먹히는 듯 한데요,
(이렇게 생각한 이유는 Hot reloader 등 이러한 기능이 동작하려면 메모리 상에 존재하지 않을까? 해서 입니다.)

axios.defaults.xsrfCookieName = 'csrftoken'
axios.defaults.xsrfHeaderName = 'X-CSRFToken'

Frontend 소스에 해당 코드가 존재함에도 같은 이슈가 발생하네요.
Axios를 테스트로 Window 전역 객체에 저장해서 확인했을 때, 상기 위 값이 아래와 같이 잘 반영되어 있습니다.

개발 모드로 Devserver 운용 시에는, csrf 관련 토큰을 강제 또는 수동(관리자 페이지 진입 후, 작업 등)으로 해야만
가능한가요??

아니면 혹시 다른 방법이 있는지 궁금합니다.
개인적으로도 서칭 해보겠습니다.

감사합니다!

0

친절하고 자세한 답변 감사합니다.