iOSから自前Django API Serverを叩くときのCSRFトークンについて

DjangoでAPIサーバを作り、SwiftからPOSTで叩こうとしています。が、CSRTトークンをつけていないため
Forbidden (CSRF cookie not set.): と言うエラーが出てきます。

少しググったところ
@csrf_exempt
つければいいよ！と出てきました。CSRFトークンのセキュリティを無効化するものと解釈しております。

そこで2点ほど質問があります

1.そう簡単にcsrf_exemptをつけていいものなのか。（セキュリティ的に問題はないのか)

2.もしまずいのであれば、どうやってCSRFトークンをDjangoサーバから取得するものなのか

よろしくお願いいたします

行動規範の内容に同意します

回答1件

ベストアンサー

1)もし、postによってデータを更新するような作りになっていれば、それを無効化することはセキュリティ的に問題があります。読み取りだけなら、普通get使うので、通常は問題があることが多いです。

2)フォームの画面を一旦読み込んでフォームタグ内のcsrfトークンの値を読み込んで、postするデータに追加するといいと思います。

投稿2017/07/02 17:42

総合スコア781

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問