Flask项目(新闻网站)—— csrf 问题解决

最新推荐文章于 2023-05-31 09:33:32 发布
最新推荐文章于 2023-05-31 09:33:32 发布
阅读量278 收藏
点赞数
分类专栏: 学生党、程序爱好者 文章标签: flask csrf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y57657/article/details/125446356
版权

想要解决问题,就得先了解它

由于我们此项目采用的是工厂模式创建的app,所以我们需要了解什么是CSRF

CSRF

CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。

CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…

造成的问题:个人隐私泄露以及财产安全。

如需了解更多,请点击 更多详情

代码实现

进入info目录的init.py,找到create_app方法,并添加如下代码

@app.after_request
    def set_csrf(response):
        """
        设置csrftoken的值
        :return: 
        """
        csrf_token = generate_csrf()
        response.set_cookie("csrf_token",csrf_token)
        # print(1111)
        return response

main.js,找到请求方法为‘post’的,并添加如下代码

headers: {'X-CSRFToken': getCookie('csrf_token')}, // 在请求头中带上csrf_token

注:
@app.after_request :在响应(response)之前做出响应

唯有秃头才能变强
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flask实现CSRF保护
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
学习FlaskCSRF
吴家健ken的博客
07-26 892
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目中说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 中引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
flask 解决csrf_token无法识别、没有定义
yuxuan89814的专栏
05-28 823
最近在合并两个项目代码,两个项目技术栈是差不多的。后端python +flask,前端是flask template 但是在合并过程中,遇到csrf_token没有定义的错误 <meta id="csrf-token" content="{{ csrf_token() }}"> 原来是在入口文件中,项目中是app目录下__init__.py文件中,没有引入实例化CSRFProtect from flask_wtf.csrf import CSRFProtect csrf = CSRF
Flask框架基础学习三
lubuhan的博客
11-02 151
Flask框架基础学习三
Flask-9 CSRF保护
xy_best_的博客
05-10 279
目录为什么需要 CSRF?实现AJAX故障排除 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块: from flask_wtf.csr
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
解决django前后端分离csrf验证的问题
09-19
在前后端分离的Web开发模式下,Django的CSRF(Cross Site Request Forgery,跨站请求伪造)保护机制可能会引发问题,因为它主要是为传统的基于表单的提交设计的。然而,现代应用往往使用Ajax进行异步通信,这就需要...
vue-resource post数据时碰到Django csrf问题解决
01-21
公司最近用vue写前端,用vue-resource遇到的一些问题,现在记录下来。 vue-resource post数据 this.$http.post('/someUrl',data, [options]).then(function(response){ // 响应成功回调 }, function(response){ ...
Flask笔记-session安全问题(避免任务重复提交)
IT1995的博客
03-09 6510
防止同一个session多次提交某任务 此处的url提交后,会处理30s。 当第一次提交session时,会延迟30s然后返回数据: 当在30s内,同样的session输入了此url: 302重定向,将其重定向到sessionsafetest中。 此例子原理是这样的: 在session存入一条user_info的数据 Flask会默认把session数据...
19.设置服务器端Session【番外】
weixin_34356310的博客
02-10 122
在11.保存登录状态与注销功能这篇文章中,我们使用了session来保存username,实际上Flask默认的session功能,是客户端session(client-side session),与之相对的是服务器端session(server-side session)。简单来说,这里的客户端session是将username加密后,...
flask设置和取消csrf
qq_39112101的博客
08-09 3278
flask-wtf模块携带csrf校验,使用的时候需要开启,csrf的引入和实例化如下 在flask当中,flask-wtf模块携带csrf校验的,需要开启。在项目的起始位置开启CSRFProtect,然后对整个app保护。 表单中设置csrf 前端使用csrf_token,属于teacher_form表单的可以独立使用,不受上面开启的影响 。 csrf的取消:@csrf...
如何取消flaskcsrf token保护?
m0_57236802的博客
05-31 480
需要注意的是,CSRF保护是一种重要的安全机制,禁用它可能会让你的应用面临攻击的风险。在禁用CSRF保护之前,你应该仔细考虑是否有其他更安全的方法来实现你的需求。如果你只想对某个特定的表单禁用CSRF保护,可以在表单类中设置。如果你是使用Flask-SeaSurf插件,可以在配置中设置。如果你是使用Flask-WTF插件,可以在配置中设置。然后在视图函数上使用。
flask csrf保护的使用技巧
热门推荐
李余通的博客
10-16 1万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 ——百度百科 网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题,很好理解。flask 作为一个强带的web微框架,自然也是支持防范csrf攻击的。通过Flask-WT
Flask教程笔记-CSRF token保护验证
pyphrb的博客
07-21 8422
Flask教程笔记-CSRF token保护验证#! coding=utf8 from flask import Flask, render_template from flask_sqlalchemy import SQLAlchemy from flask_bootstrap import Bootstrap from flask_wtf.csrf import CsrfProtect #导入C
Flask 项目解决csrf攻击
yutu75的博客
11-22 829
首先装个库吧,命令如下: pip install flask_wtf 在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # 1. session加密的时候已经配置过了.如果没有在配置项中设置,则如下: app.secret_key = "#此处可以写随机字符串#" # 2. 也可以写在配置类中。 class Config(object): DE
falsk 关闭csrf
静待花开时,终有重逢日。
12-08 142
默认是开启的 调试时发生post会有错的 CSRFProtect(app)``` 关闭掉 csrf = CSRFProtect()
flaskcsrf防护
he93007的博客
04-17 725
一.黑客的csrf攻击方式:    黑客构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。 如果近期用户登录过被攻击网站(假设未开启防护),cookie还没过期.    那么这个黑客的请求将会合法通过.---------本质是黑客利用用户的cookie数据.   二.防护方式与原理    防护方式----------设置token &gt;&gt;&g...
Flask CSRF 保护
咸鱼!!!
07-07 557
Flask CSRF 保护为什么需要 CSRF?实现 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所...
python csrf token_使用python请求csrftoken登录
weixin_39875805的博客
12-08 493
我正在使用python的requests模块尝试登录一个网页。我打开一个请求.会话(),然后我得到cookie和包含在meta标记中的csrf令牌。我使用用户名、密码、一个隐藏的输入字段和meta标记中的csrf令牌来构建我的有效负载。之后,我使用post方法并传递登录url、cookie、有效负载和头。但是在那之后,我就不能访问登录页面后面的页面了。我做错什么了?在这是我执行登录时的请求头:Re...
java csrf_Java解决CSRF问题
最新发布
06-08
Java中可以通过以下方式解决CSRF问题: 1. 验证请求来源:在服务器端验证请求是否来自合法的来源。可以通过在每个表单中添加一个隐藏域,保存一个token值,然后将这个token值与session中保存的token值进行比较。如果不一致,则认为请求不合法。 2. 验证Referer:在服务器端验证请求的Referer是否合法。如果请求的Referer不是本站点的地址,则认为请求不合法。 3. 使用验证码:在每个表单中添加一个验证码,要求用户在提交表单时输入验证码。这样可以防止恶意攻击者通过程序自动提交表单。 4. 使用CSRF Token:在每个表单中添加一个CSRF Token,要求用户在提交表单时携带这个Token。服务器端对Token进行验证,如果验证失败,则认为请求不合法。可以使用Spring Security等框架提供的CSRF防护机制来简化开发。 以上方法都可以有效地防止CSRF攻击,开发者可以根据自己的实际情况选择合适的方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值