python - Django QueryDict 为空 request.POST 但在 request.GET 中填充

Question

精简版:在 django 站点上，我可以从 request.GET 而不是 request.POST 获取值以响应请求来自 Twilio。我怀疑它与 csrf 有关，但我不确定如何调试该问题。详情如下。

长版:我正在帮助一个 friend 做一个项目，我们正在使用 Twilio REST API 通过 SMS 进行医学调查。我有一个域和一个非常简单的 django 在该域上构建的网站，我构建它只是为了更好地熟悉 django，所以我们正在使用它。

我们正在收集对我们调查的短信回复，作为 Twilio API 的一部分，它会将对我们号码的任何回复发送到帐户下指定的 url，因此我们的回复目标如下:

...mydomain.com/some_page/another_page/

Twilio 请求如下所示:

...mydomain.com/some_page/another_page/?AccountSid=###SOME_LONG_ACCOUNT_SIDE&From=%2BPHONE_NUMBER&Body=bla+BLA+bla+BLA&SmsSid=##MESSAGE_ID_KEY&SmsMessageSid=##MESSAGE_ID_KEY&FromCity=Santa+Cruz&FromState=California...

---

工作代码

我正在测试传入的请求是否在其中包含我们的 AccountSid(与数据库中的值相比)以及在我的应用程序的 views.py 中，我有类似于以下内容(并且有效):

from our_app import TwilioAccount
our_account = TwilioAccount.objects.get(id=1)

def twilio_response(request):
    assert request.GET.get('AccountSid', None) == our_account.account_sid
    ## log the incoming request to the database under survey responses...

非工作代码

如果我登录到我们的 Twilio 帐户并将请求方法切换为 POST，然后我将所有 my 数据收集切换为 request.POST ，上面的断言语句失败。进一步调试发现我的 QueryDict 在 POST 下是空的，POST:{}，所以没有抓取键值。

我认为这可能是因为 django 下的 POST 需要一个 csrf_token，但我认为检查 AccountSid 相当不错，所以我导入了 csrf_exempt 并用它包装上面的函数:

@csrf_exempt
def twilio_response(request):
    assert request.POST.get('AccountSid', None) == our_account.account_sid
    ## log the incoming request to the database under survey responses...

AssertionError: ...

这不适用于完全相同的请求:QueryDict 为空。

---

问题:

1) 我还需要做些什么来使我的 @csrf_exempt 正常工作吗？备选问题:这是一种糟糕而愚蠢的方式吗？在使用其他公司的 API 而不是实际登录的用户时，人们通常如何满足此要求？

1a) 我可以将其保留为 GET 请求，而不是将其设为 csrf_exempt，因为我知道它仍在根据我们的 account_sid 检查所有传入请求。我应该这样做还是这样做真的很幼稚？

2) 我很想知道最好的方法:我应该构建一个 Django 表单，然后将请求路由到我的表单并测试有效性并以这种方式清理数据吗？如果是这样，当没有表单模板时，任何人都可以给我一个粗略的概述，说明 View /表单的外观(使用 csrf_token 完成)吗？

Answer 1

此处来自 Twilio 开发人员布道师团队的 Matt。

1) 使用@csrf_exempt 包装您的 twilio_response 函数以删除 Django CSRF token 检查是正确的方法。 Twilio 不会生成 Django CSRF token 。相反，还有其他方法可以验证 POST 是否来自 Twilio，例如使用 X-Twilio-Signature header 进行签名验证。查看Twilio security docs了解详情。

1a) 使用GET请求方便测试和调试，但在生产中应该使用POST。根据 HTTP 规范，GET 请求没有正文，因此结果在查询字符串中传递。如果参数太大，例如文本消息的最大长度为 1600 个字符，则 URL 中的查询字符串可能会超过 URL 的最大长度，并可能在您处理该字符串时导致问题。

2) Django 表单是处理此用例的好方法，尤其是利用现有模型来保存响应的 ModelForm。例如，您的 ModelForm 可以如果您将数据保存到 TwilioMessage 模型，则看起来类似于以下内容:

from django.forms import ModelForm
from .models import TwilioMessage


class MessageForm(ModelForm):
    pass

    class Meta:
        model = ReactionEvent
        # include all fields you're saving from the form here
        fields = ['body', 'to', 'from_', 'signature',]