Django 与 Nginx 之间非 HTTPS 连接而导致 CSRF 验证失败(403)

发表于 分类于

我的 Django 跑在 Nginx 后面,表单模板已经添加 {% csrf_token %},但提交表单总是 CSRF 验证失败(403)。官方文档解释由于两者之间连接不是 HTTPS 造成的,我的 DjangoNginx 需要一些额外配置

版本

Django 4.0.4

报错页面

django-csrf

解决方法

settings.py

设置一个包含两个元素的元组——要查找的头的名称和所需的值:

1
SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')

Nginx 配置

location / 块内添加 proxy_set_header X-Forwarded-Proto https;

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# HTTPS server
# 
server {
    listen       443 ssl;
    server_name  www.gaoyuanqi.cn;

    ...

    location / {
        # 转发地址
        proxy_pass http://127.0.0.1:8000;

        proxy_redirect off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $http_x_forwarded_proto;
    }

}

重启 Nginx 以使配置文件生效,我是基于 Docker 部署的,下面是重启命令:

1
2
# nginx 是容器名称
docker restart nginx

官方文档