如果是发送from表单, 则使用原来的隐藏表单的形式(生成&派发令牌)
<form method="post" action="/">
<input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>
如果是AJAX的POST请求, 则使用meta标签记录令牌, 并在ajax的请求头中设置令牌
<meta name="csrf-token" content="{{ csrf_token() }}">
var csrftoken = $('meta[name=csrf-token]').attr('content')
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken)
}
}
})
开启CSRF保护 (如果想要使用POSTMAN测试POST请求, 需要注释CSRF校验过程)
def protect(self):
if request.method not in current_app.config['WTF_CSRF_METHODS']:
return
try:
# 如果想用postman测试,则注释下一行代码
validate_csrf(self._get_csrf_token())
pass
except validationError as e:
logger.info(e.args[0])
self._error_response(e.args[0])