smaa/octopus
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects 1 Releases Wiki Activity

Добавлена кастомная страница ошибки CSRF и увеличено время сессии

Browse Source 
- Создан шаблон templates/403_csrf.html с дружелюбным интерфейсом для пользователей
  * Красивый дизайн с градиентом и анимациями
  * Понятное объяснение причин ошибки (истёкшая сессия, кнопка Назад)
  * Кнопка обновления страницы для быстрого решения
  * Адаптивная вёрстка для мобильных устройств

- Увеличено время жизни сессии в settings.py:
  * SESSION_COOKIE_AGE = 28 дней (было по умолчанию 2 недели)
  * SESSION_SAVE_EVERY_REQUEST = True (продлевать при активности)
  * CSRF_COOKIE_AGE = 1 год (чтобы токен не устаревал быстро)
  * Добавлены флаги безопасности SECURE для прода (HTTPS-only)

Теперь на проде пользователи не увидят технический текст ошибки CSRF,
а получат понятное сообщение с инструкцией по решению проблемы.
This commit is contained in:
Andrey Smakotin
2026-01-07 20:40:21 +03:00
parent efd0a2b66e
commit 1c1a95df76
3 changed files with 158 additions and 32 deletions
Download Patch File Download Diff File Expand all files Collapse all files

32
myproject/docker/.env.docker.example
View File

@@ -1,32 +0,0 @@
# Django settings
SECRET_KEY=change-this-to-a-secure-random-key-in-production-min-50-chars
DEBUG=False
ALLOWED_HOSTS=yourdomain.com,*.yourdomain.com,localhost,127.0.0.1
# Database (PostgreSQL)
DB_NAME=inventory_db
DB_USER=postgres
DB_PASSWORD=your-secure-postgres-password-here
DB_HOST=db
DB_PORT=5432
# Redis
REDIS_HOST=redis
REDIS_PORT=6379
REDIS_DB=0
# Celery
CELERY_BROKER_URL=redis://redis:6379/0
# Tenant Admin (создаётся при первом запуске)
TENANT_ADMIN_EMAIL=admin@example.com
TENANT_ADMIN_PASSWORD=change-this-secure-password
TENANT_ADMIN_NAME=Admin
# Django-tenants
# Основной домен для public схемы
PUBLIC_SCHEMA_DOMAIN=yourdomain.com
# Domain settings for multi-tenant URLs
TENANT_DOMAIN_BASE=yourdomain.com
USE_HTTPS=True

21
myproject/myproject/settings.py
View File

@@ -228,6 +228,27 @@ USE_I18N = True
USE_TZ = True USE_TZ = True
# ============================================
# SESSION CONFIGURATION
# ============================================
# Время жизни сессии: 4 недели (в секундах)
SESSION_COOKIE_AGE = 2419200 # 28 дней
# Продлевать сессию при каждом запросе (токен не устареет, если пользователь активен)
SESSION_SAVE_EVERY_REQUEST = True
# Время жизни CSRF cookie (привязан к сессии, но можно увеличить отдельно)
# 1 год для удобства пользователей
CSRF_COOKIE_AGE = 31449600
# CSRF cookie доступен только по HTTPS на проде
CSRF_COOKIE_SECURE = not DEBUG
# Session cookie доступен только по HTTPS на проде
SESSION_COOKIE_SECURE = not DEBUG
# ============================================ # ============================================
# STATIC FILES (CSS, JavaScript, Images) # STATIC FILES (CSS, JavaScript, Images)
# ============================================ # ============================================

137
myproject/templates/403_csrf.html Normal file
View File

@@ -0,0 +1,137 @@
<!DOCTYPE html>
<html lang="ru">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Сессия истекла</title>
<style>
* {
margin: 0;
padding: 0;
box-sizing: border-box;
}
body {
font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, "Helvetica Neue", Arial, sans-serif;
background: linear-gradient(135deg, #667eea 0%, #764ba2 100%);
min-height: 100vh;
display: flex;
align-items: center;
justify-content: center;
padding: 20px;
}
.container {
background: white;
border-radius: 12px;
box-shadow: 0 20px 60px rgba(0, 0, 0, 0.3);
max-width: 500px;
width: 100%;
padding: 40px;
text-align: center;
}
.icon {
font-size: 64px;
margin-bottom: 20px;
}
h1 {
color: #333;
font-size: 28px;
margin-bottom: 16px;
font-weight: 600;
}
p {
color: #666;
font-size: 16px;
line-height: 1.6;
margin-bottom: 12px;
}
.reason {
background: #f8f9fa;
border-left: 4px solid #ffc107;
padding: 16px;
margin: 24px 0;
text-align: left;
border-radius: 4px;
}
.reason strong {
color: #333;
display: block;
margin-bottom: 8px;
}
.reason ul {
margin-left: 20px;
color: #555;
}
.reason li {
margin: 6px 0;
}
.btn {
display: inline-block;
background: #667eea;
color: white;
padding: 14px 32px;
border-radius: 6px;
text-decoration: none;
font-weight: 500;
font-size: 16px;
transition: all 0.3s ease;
cursor: pointer;
border: none;
margin-top: 8px;
}
.btn:hover {
background: #5568d3;
transform: translateY(-2px);
box-shadow: 0 4px 12px rgba(102, 126, 234, 0.4);
}
.btn:active {
transform: translateY(0);
}
@media (max-width: 480px) {
.container {
padding: 30px 20px;
}
h1 {
font-size: 24px;
}
.icon {
font-size: 48px;
}
}
</style>
</head>
<body>
<div class="container">
<div class="icon">🔒</div>
<h1>Сессия истекла</h1>
<p>Ваша форма была открыта слишком давно, и защитный токен безопасности устарел.</p>
<div class="reason">
<strong>Возможные причины:</strong>
<ul>
<li>Страница была открыта более 30 минут</li>
<li>Использована кнопка "Назад" в браузере</li>
<li>Открыто несколько вкладок с этой формой</li>
</ul>
</div>
<p><strong>Решение простое:</strong> обновите страницу и попробуйте снова.</p>
<button class="btn" onclick="location.reload()">🔄 Обновить страницу</button>
</div>
</body>
</html>