A verificação do Django CSRF falhou após configurar SSL com Certbot

tag-icon tag-icon nginx ssl-certificate django
A verificação do Django CSRF falhou após configurar SSL com Certbot

Atualmente estou trabalhando em um projeto Django que utiliza Docker e recentemente configurei um certificado SSL usando uma versão em contêiner doCertbotpara proteger meu aplicativo Django através de HTTPS. No entanto, depois de implementar o certificado SSL e atualizar minha configuração nginx, comecei a receber o erro ‘Falha na verificação de CSRF’, o que não era um problema antes da configuração. Anteriormente, eu conseguia fazer login em meu aplicativo Django quando ele usava HTTP. Qual poderia ser a causa deste problema?

Minha configuração do Django.

# settings.py
ALLOWED_HOSTS = ["*"]

MIDDLEWARE = [
    "django.middleware.security.SecurityMiddleware",
    "django.contrib.sessions.middleware.SessionMiddleware",
    "corsheaders.middleware.CorsMiddleware",
    "django.middleware.common.CommonMiddleware",
    "django.middleware.csrf.CsrfViewMiddleware",
    "django.contrib.auth.middleware.AuthenticationMiddleware",
    "django.contrib.messages.middleware.MessageMiddleware",
    "django.middleware.clickjacking.XFrameOptionsMiddleware",
]

if DEBUG:
    CORS_ALLOW_ALL_ORIGINS = True
else:
    CORS_ORIGIN_ALLOW_ALL = False
    CORS_ORIGIN_WHITELIST = [
        'https://example.ph',
    ]

Minha configuração anterior do nginx.

upstream api {
    server sinag_app:8000;
}

server {
    listen 80;

    location / {
        proxy_pass http://api;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_redirect off;
    }

    location /static/ {
        alias /static/;
    }
}

Minha nova configuração nginx com certificado SSL.

upstream api {
    server sinag_app:8000;
}

server {
    listen 80;
    server_name ${DOMAIN};

    location /.well-known/acme-challenge/ {
        root /vol/www;
    }

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl;
    server_name ${DOMAIN};

    ssl_certificate /etc/letsencrypt/live/${DOMAIN}/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/${DOMAIN}/privkey.pem;

    include /etc/nginx/options-ssl-nginx.conf;

    ssl_dhparam /vol/proxy/ssl-dhparams.pem;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    client_max_body_size 4G;
    keepalive_timeout 5;

    location /static/ {
        alias /static/;
    }

    location / {
        proxy_pass http://api;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_redirect off;
    }
}

Responder1

Não sou especialista em SSL, mas usei SSL no meu site Django e acho que configurar CSRF_COOKIE_SECURE é necessário para validar seus formulários quando o SSL estiver ativado, caso você ainda não o tenha configurado.

Verhttps://docs.djangoproject.com/en/4.2/topics/security/#ssl-https

informação relacionada