flask项目之4:csrf验证与相关防护措施

最新推荐文章于 2021-03-04 15:37:01 发布
最新推荐文章于 2021-03-04 15:37:01 发布
阅读量226 收藏 1
点赞数
分类专栏: # flask项目实战 文章标签: flask csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LCY133/article/details/111144479
版权

CSRF验证:http://blog.csdn.net/wireless911/article/details/81589202
http://cnblogs.com/hyddd/archive/2009/04/09/1432744.html
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,攻击者盗用了你的身份,以你的名义发送恶意请求,做的事情包括:以你的名义发送邮件,消息,盗取你的账号甚至购买商品转账等等,造成的问题包括个人隐私泄露和财产安全。
在这里插入图片描述
满足一下条件,则可能被进行CSRF攻击:
1.登录受信任的网站A,并且产生了本地cookie
2.在不登出A的情况下,访问了危险网站B

从cookie中获取csrf_token的值
从请求体中获取csrf_token的值
如果两者相同就可以继续进行,异常就不进行验证

同源策略:
同源的网站才可以操作资源,读取不到cookie
做了一定的验证 验证cookie和body中的token是不是一样的,再者就是不同源的网站之间不可以相互操作资源,也就是不同源的网站间不能读取到其cookie值
该部分的实现是在代码的web_html,进行静态资源路由设置的文件内使用的,
涉及的import:

from flask import make_response
from flask_wtf import csrf

在get_html函数内加入:

csrf_token = csrf.generate_csrf()

response = make_response(current_app.send_static_file(html_file_name))

response.set_cookie('csrf_token', csrf_token)

return response

操作:
运行manage.py, 打开相应url:
使用ctrl+r进行刷新,
在这里插入图片描述
点击此处可以看到存在两个cookie,

在这里插入图片描述

LCY133
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Flask常见配置及安全设置
禅与计算机程序设计艺术
10-09 748
作者:禅与计算机程序设计艺术 1.背景介绍 什么是FlaskFlask是一个Python轻量级Web应用框架,其基于Werkzeug WSGI工具箱和Jinja2模板引擎,并提供一个简单的API来构建Web应用和API。它的主要目标是在短时间内快速
python flask web 新闻项目 开启csrf保护
qq_48082548的博客
10-24 175
开启csrf保护有两种方法,我们用第二种在Ajax添加请求头: Ajax添加请求头: headers:{'X-CSRFToken':getCookie('csrf_token')}, 后台在创建app的函数中写入: from flask_wtf import CSRFProtect from flask_wtf.csrf import generate_csrf CSRFProtect(app) @app.after_request def after_request(response):
Flask项目实现防止CSRF攻击的流程
是什么让你停止不前?
10-12 1303
Flask项目实现防止CSRF攻击的流程 a) 使用 flask_wtf 中 CSRFProtect类,初始化该类并传入app b) 使用 flask_wtf.csrf模块中的generate_csrf方法生成csrf_token c) 使用请求勾子 after_request,取到响应,统一设置到cookie中 d) 如果前端使用form表单提交,需要在表单中添加隐藏的input,并设置其va...
Flask(python web框架)安全
Love&Share
03-04 1万+
Flask 作为一个 WEB 框架来说内部封装的安全性的措施很多,基本解决了常见的 web 漏洞,下面介绍 Flask 是如何来避免产生 常见的 web 漏洞。 SQL注入: Flask 使用 ORM 对象关系映射的数据库管理方式,同时 Flask 框架内部也封装了许多安全性的函数,对于 SQL 注入拥有一定防护力,如图 Flask 中单引号会自动进行转义 XSS: Flask 使用 Jinja2 模板引擎,Jinja 会默认将渲染变量进行 HTML 实体转义 @user_bp.route('/test2
flask_wtf CSRFProtect机制
ypgsh的博客
01-09 1814
一,使用 实例化 from flask_wtf import CSRFProtect csrf = CSRFProtect() 初始化 from flask import Flask app = Flask(__name__) ... WTF_CSRF_SECRET_KEY=xxx #设置token 生成salt ... csrf.init_app(app)     csrf默认对[...
详解WEB攻击CSRF攻击防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
anticsrfCSRF预防库的示例用法
02-02
反抗 CSRF预防库的示例用法
csrfCSRF令牌创建和验证背后的逻辑
02-19
CSRF令牌创建和验证背后的逻辑。 阅读了解更多关于CSRF的信息。 使用此模块可以创建自定义CSRF中间件。 是否正在为使用该模块的最喜欢的框架寻找CSRF框架? 快速/连接: 或 Koa: 或 安装 $ npm install csrf ...
Flask模拟实现CSRF攻击
weixin_34249367的博客
07-13 192
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全...
CSRF
热门推荐
时光偏执的博客
01-16 1万+
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤 在客户端向...
flask中的csrf防御机制
FreeSpider
07-17 2037
csrf概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
Flask框架——CSRF保护
HMMHMH的博客
10-12 527
目录CSRF攻击如何防御CSRF攻击Flask框架中的CSRF保护机制 CSRF攻击 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全。 攻击示意图: 如何防御CSRF攻击 在客户端...
burpsuite生成POC验证CSRF过程及原理
qq_41123867的博客
02-19 1万+
一.CSRF漏洞成因: 浏览器访问web服务器A,登录状态下,再用同一个浏览器访问了恶意服务器B,服务器B返回给浏览器的页面中含有要求访问服务器A的恶意代码,用户不知情的情况下点击后,导致服务器A接收到来自服务器B的通过浏览器发起的恶意请求 根据上图可知,要验证CSRF,需要在访问网站A后获得cookie后,再访问一个会返回恶意代码的网站B,返回的恶意代码必须能导致访问网站A ,如果能通过返回的...
web项目09-----CSRF验证
zaaaacki的博客
11-22 145
CSRF验证 关于CSRF:https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html csrf是一种攻击手段 如果我们的服务器开启了csrf验证,他会 从cookie中获取csrf_token的值 从请求体中获取csrf_token的值 如果这两个值相同,那么验证通过,如果不同,则返回一个状态码,比如400 一般都是前端发送请求的时候才会验证,POST、PUT、DELETE的请求方式 我们用POST请求的时候,要提交这两个东西
csrf在python中的运用格式
Dai_yinian6的博客
06-23 438
# 导入生成 csrf_token 值的函数 from flask_wtf.csrf import generate_csrf # 调用函数生成 csrf_token csrf_token = generate_csrf()@app.after_request def after_request(response): # 调用函数生成 csrf_token csrf_token =...
flask——CSRFToken保护
brook_的博客
07-07 2343
根据 csrf_token 校验原理,具体操作步骤有以下几步: 1.后端生成 csrf_token 的值,在前端请求登录或者注册界面的时候将值传给前端,传给前端的方式可能有以下两种: 在模板中的 From 表单中添加隐藏字段 将 csrf_token 使用 cookie 的方式传给前端 2.在前端发起请求时,在表单或者在请求头中带上指定的 csrf_toke...
flask_wtf flaskCSRF 源代码初研究
weixin_30919571的博客
06-18 146
因为要搞一个基于flask的前后端分离的个人网站,所以需要研究下flaskcsrf防护原理. 用的扩展是flask_wtf,也算是比较官方的扩展库了. 先上相关源代码: 1 def validate_csrf(data, secret_key=None, time_limit=None, token_key=None): 2 """Check if the given...
关于开启CSRF会报400的问题
cainiaojan的博客
08-01 799
当开始CSRF保护的时候,需要提交表单的时候都会报400的错误.然后查看了下源码: class CSRFProtect(object): “”“Enable CSRF protection globally for a Flask app. :: app = Flask(__name__) csrf = CsrfProtect(app) Checks the ``...
关于flask线程安全的简单研究
weixin_30731305的博客
07-15 208
  flask是python web开发比较主流的框架之一,也是我在工作中使用的主要开发框架。一直对其是如何保证线程安全的问题比较好奇,所以简单的探究了一番,由于只是简单查看了源码,并未深入细致研究,因此以下内容仅为个人理解,不保证正确性。   首先是很多文章都说flask会为每一个request启动一个线程,每个request都在单独线程中处理,因此保证了线程安全。于是就做了一个简单的测试。首...
"detail": "CSRF Failed: CSRF token missing."
最新发布
11-05
"detail": "CSRF Failed: CSRF token missing."这个错误提示表明在Django接口请求中缺少CSRF token,导致验证失败。CSRF token是一种安全机制,用于防止跨站请求伪造攻击。在Django中,当用户登录并访问受保护的页面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值