iOS客户端和Django服务端之间的csrftoken


iOS客户端使用Alamofire做网络请求,后台基于django,在post请求时前端报403错误;

后台报错详情:

Forbidden (CSRF cookie not set.): /account/auth/login/
[25/Mar/2018 19:02:12] "POST /account/auth/login/ HTTP/1.1" 403 2598

这是由于没有在cookie中设置csrftoken导致的,csrf是跨站请求伪造,CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,由于服务端使用了csrf,那么我们需要在cookie中设置即可:

通用Cookie格式,多个Cookie的格式通常为:"key1"=value1; "key1"=value2; "key1"=value3; 这里特别要注意,多个cookie之间用分号+空格分隔开,不是&也不是单纯的空格,然后将拼接好的cookie放到header中。

let config:URLSessionConfiguration = URLSessionConfiguration.default
        config.timeoutIntervalForRequest = NetworkTimeoutInterval
        sessionManager = SessionManager(configuration: config)

let urlString = ALPConstans.HttpRequestURL().login
            let parameters = [
                "csrfmiddlewaretoken": AuthenticationManager.shared.csrftoken,
                "username": username,
                "password": password,
                ]
        var headers: HTTPHeaders = [
            "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8" ,
            "Content-Type": "application/x-www-form-urlencoded",
            "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36",
            "Accept-Encoding": "gzip,deflate",
            "Accept-Language": "zh-CN,zh;q=0.9",
            "Referer": "http://10.211.55.3:8000/login/",
            "Upgrade-Insecure-Requests": "1"
        ]

        if let csrftoken = AuthenticationManager.shared.csrftoken {
            headers["Cookie"] = "csrftoken=\(csrftoken)"
        }

        Alamofire.request(url, method: method, parameters: parameters as? Parameters, encoding: URLEncoding.default, headers: headers).responseString(queue: DispatchQueue.global(), encoding: String.Encoding.utf8, completionHandler: { (response) in
            let data = response.result.value
            if (response.result.isSuccess)
            {
                finishedCallBack(data as AnyObject, nil)
            }
            else
            {
                finishedCallBack(data as AnyObject,response.result.error)
            }
        })

另外,对于首次调用登录接口(只针对post请求),没有csrftoken的问题,我的解决方法是:登录之前先向服务器要一个csrftoken,服务器会先从当前的的连接会话中查找是否有csrf,如果没有就随机生成一个csrftoken给客户端,并将csrftoken存储到当前会话的headers中,以便下次访问时核对csrf是否一致,客户端接收到csrftoken后将其存储起来,以便下次请求使用。

记录问题:

  • 1.CSRF验证失败. 相应中断 我在调试post请求的相关接口时,确认将carftoken放在Cookie中了,而且也在参数中添加了csrfmiddlewaretoken字段,但是无奈iOS设备上收到的响应总是CSRF验证失败. 相应中断;但是同一个接口我使用chrome就可以正确请求及返回接口;无奈只能使用抓包工具抓取这两次请求的不同,基本上把iOS上请求的参数和chrome参数相同了,但是还是返回csrf验证失败;最终通过Charles抓包找到了原因:错在了参数错误,参数尽然是字符串格式的,而chrome传的是key=value格式,此时脑海中立即响应了是Alamofire.request()的encoding搞错了,此处我错误使用了JSONEncoding.default,将其改为URLEncoding.default后,再次测试可正常请求响应数据。

下面是两次抓包的区别:

  • 2.Charles无法抓包 这次真的要感谢Charles,不然今天找不到问题,我会很伤心的;但是今天打开charles后,发现可以访问网络但是抓不到包,我猜测与我设置的ss代理(用于翻墙的)有关,尝试关闭网络代理后问题解决; 打开网络偏好设置-高级-代理,将自动代理配置的勾勾取消

附件: