Certbot で SSL を設定した後、Django CSRF 検証が失敗する

tag-icon tag-icon nginx ssl-certificate django
Certbot で SSL を設定した後、Django CSRF 検証が失敗する

私は現在Dockerを利用したDjangoプロジェクトに取り組んでおり、最近コンテナ化されたバージョンのSSL証明書を設定しました。サートボットHTTPS 経由で Django アプリを保護するためです。しかし、SSL 証明書を実装し、nginx 構成を更新した後、「CSRF 検証に失敗しました」というエラーが発生し始めました。これは、セットアップ前には問題ではありませんでした。以前は、HTTP を使用していたときに Django アプリにログインできました。この問題の原因は何でしょうか。

私のDjango設定。

# settings.py
ALLOWED_HOSTS = ["*"]

MIDDLEWARE = [
    "django.middleware.security.SecurityMiddleware",
    "django.contrib.sessions.middleware.SessionMiddleware",
    "corsheaders.middleware.CorsMiddleware",
    "django.middleware.common.CommonMiddleware",
    "django.middleware.csrf.CsrfViewMiddleware",
    "django.contrib.auth.middleware.AuthenticationMiddleware",
    "django.contrib.messages.middleware.MessageMiddleware",
    "django.middleware.clickjacking.XFrameOptionsMiddleware",
]

if DEBUG:
    CORS_ALLOW_ALL_ORIGINS = True
else:
    CORS_ORIGIN_ALLOW_ALL = False
    CORS_ORIGIN_WHITELIST = [
        'https://example.ph',
    ]

以前の nginx 設定。

upstream api {
    server sinag_app:8000;
}

server {
    listen 80;

    location / {
        proxy_pass http://api;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_redirect off;
    }

    location /static/ {
        alias /static/;
    }
}

SSL 証明書を使用した新しい nginx 構成。

upstream api {
    server sinag_app:8000;
}

server {
    listen 80;
    server_name ${DOMAIN};

    location /.well-known/acme-challenge/ {
        root /vol/www;
    }

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl;
    server_name ${DOMAIN};

    ssl_certificate /etc/letsencrypt/live/${DOMAIN}/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/${DOMAIN}/privkey.pem;

    include /etc/nginx/options-ssl-nginx.conf;

    ssl_dhparam /vol/proxy/ssl-dhparams.pem;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    client_max_body_size 4G;
    keepalive_timeout 5;

    location /static/ {
        alias /static/;
    }

    location / {
        proxy_pass http://api;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_redirect off;
    }
}

答え1

私は SSL の専門家ではありませんが、Django の Web サイトで SSL を使用しており、まだ設定していない場合は、SSL が有効になっているときにフォームを検証するには CSRF_COOKIE_SECURE を設定する必要があると思います。

見るhttps://docs.djangoproject.com/en/4.2/topics/security/#ssl-https

関連情報