La verificación CSRF de Django falló después de configurar SSL con Certbot

tag-icon tag-icon nginx ssl-certificate django
La verificación CSRF de Django falló después de configurar SSL con Certbot

Actualmente estoy trabajando en un proyecto de Django que utiliza Docker y recientemente configuré un certificado SSL usando una versión en contenedor deCertbotpara proteger mi aplicación Django a través de HTTPS. Sin embargo, después de implementar el certificado SSL y actualizar mi configuración de nginx, comencé a experimentar el error "Error en la verificación CSRF", que no era un problema antes de la configuración. Anteriormente, podía iniciar sesión en mi aplicación Django cuando usaba HTTP. ¿Cúal podría ser la causa de este problema?

Mi configuración de Django.

# settings.py
ALLOWED_HOSTS = ["*"]

MIDDLEWARE = [
    "django.middleware.security.SecurityMiddleware",
    "django.contrib.sessions.middleware.SessionMiddleware",
    "corsheaders.middleware.CorsMiddleware",
    "django.middleware.common.CommonMiddleware",
    "django.middleware.csrf.CsrfViewMiddleware",
    "django.contrib.auth.middleware.AuthenticationMiddleware",
    "django.contrib.messages.middleware.MessageMiddleware",
    "django.middleware.clickjacking.XFrameOptionsMiddleware",
]

if DEBUG:
    CORS_ALLOW_ALL_ORIGINS = True
else:
    CORS_ORIGIN_ALLOW_ALL = False
    CORS_ORIGIN_WHITELIST = [
        'https://example.ph',
    ]

Mi configuración anterior de nginx.

upstream api {
    server sinag_app:8000;
}

server {
    listen 80;

    location / {
        proxy_pass http://api;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_redirect off;
    }

    location /static/ {
        alias /static/;
    }
}

Mi nueva configuración de nginx con certificado SSL.

upstream api {
    server sinag_app:8000;
}

server {
    listen 80;
    server_name ${DOMAIN};

    location /.well-known/acme-challenge/ {
        root /vol/www;
    }

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl;
    server_name ${DOMAIN};

    ssl_certificate /etc/letsencrypt/live/${DOMAIN}/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/${DOMAIN}/privkey.pem;

    include /etc/nginx/options-ssl-nginx.conf;

    ssl_dhparam /vol/proxy/ssl-dhparams.pem;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    client_max_body_size 4G;
    keepalive_timeout 5;

    location /static/ {
        alias /static/;
    }

    location / {
        proxy_pass http://api;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_redirect off;
    }
}

Respuesta1

No soy un especialista en SSL, pero utilicé SSL en mi sitio web de Django y creo que es necesario configurar CSRF_COOKIE_SECURE para validar sus formularios cuando SSL está activado, si aún no lo ha configurado.

Verhttps://docs.djangoproject.com/en/4.2/topics/security/#ssl-https

información relacionada