CSRF con jquery y $ .post en django 1.3

Question

En django 1.3, ahora tiene que usar csrf incluso con ajax. Uso jquery y ahora quiero agregar el token csrf al $ .post. ¿Cómo puedo hacer esto? No soy muy hábil en jquery, así que sería bueno con una buena descripción.

Es una aplicación de calificación y la publicación se envía cuando se hace clic en una estrella. He visto el django docs pero no entiendo qué hacer en mi situación. Mi código está debajo:

$(function() { 
      $("#avg").children().not(":input").hide(); 
      $("#rating-widget").children().not("select").hide();  

      $caption = $("<span/>"); 

      $("#avg").stars({captionEl: $caption}); 
      $("#rating-widget").stars({ 
       inputType: "select", 
       cancelShow: false, 
       captionEl: $caption, 
       callback: function(ui, type, value){ 
-------------->  $.post($("#rating-widget").attr("action"), {score: value}, function(data){ 

        }); 
       } 
      }); 
       $caption.appendTo("#rating-widget"); 

}); 

Se debe decir que el javascript no está en una plantilla, sino en un archivo estático. ¿Sería mejor ponerlo en una plantilla para poder usar {{ csrf_token }}

Gracias de antemano!

Answer 1

Coloque este código antes de su función. Se ocupará de CSRF.

$('html').ajaxSend(function(event, xhr, settings) { 
    function getCookie(name) { 
     var cookieValue = null; 
     if (document.cookie && document.cookie != '') { 
      var cookies = document.cookie.split(';'); 
      for (var i = 0; i < cookies.length; i++) { 
       var cookie = jQuery.trim(cookies[i]); 
       // Does this cookie string begin with the name we want? 
       if (cookie.substring(0, name.length + 1) == (name + '=')) { 
        cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); 
        break; 
       } 
      } 
     } 
     return cookieValue; 
    } 
    if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) { 
     // Only send the token to relative URLs i.e. locally. 
     xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken')); 
    } 
}); 

Answer 2

En el django documentation puede encontrar una descripción simple sobre cómo incluir automáticamente el token csrf en cada solicitud de Ajax.

Answer 3

¡No tiene que usar un formulario! Simplemente cree una nueva URL que esté vinculada a una función que "marque" publicaciones. Por ejemplo

(r'^myapp/star-post/(?P<post_id>.*)/$','myapp.views.myview') 

Por lo tanto, si envía una solicitud a esa URL, encontrará el cargo en su base de datos, cambie el campo de "Destacados" y devolver una respuesta al Ajax.

Luego puede tener una función de devolución de llamada en caso de éxito que cambiará el CSS en consecuencia (complete la estrella, etc.). De esta manera, no tiene que preocuparse por CSRF.

Pero usted puede preguntar, ¿y qué hay de los ataques de scripting entre sitios! Bueno, si está utilizando la autenticación de usuario con la validación de cookies, ¡no debería tener que preocuparse por eso! Aaay eres bueno para ir.