Flask 中的CSRF保护

最新推荐文章于 2023-05-31 09:33:32 发布
最新推荐文章于 2023-05-31 09:33:32 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 笔记 文章标签: CSRF Flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zhan_y_y/article/details/80046923
版权

1.开启CSRF保护

在创建app实例时
from flask_wtf.csrf import CSRFProtect

def get_app(config_name):
    # 创建实例
    app = Flask(__name__)
    #  开启csrf保护
    CSRFProtect(app)
2.对页面HTML加上csrf_token的标签
@html_blue.route('/<re(".*"):file_name>')
def web_html(file_name):
    # 当file_name 为空时 默认访问index.html
    #     因此要自定义正则转换器
    if not file_name:
        file_name = 'index.html'

    if file_name != 'favicon.ico':
        file_name = 'html/%s' % file_name

    # 生成响应对象
    response = make_response(current_app.send_static_file(file_name))
    
    # 生成csrf_token
    csrf_tolen = generate_csrf()
    # 将csrf_token 写入cookie中
    response.set_cookie('csrf_token', csrf_tolen)

    return response
3.对的POST请求的AJAX 的headers添加“X-CSRFToken"
$.ajax({
    url:'/api/1.0/sms_code',
    type:'post',
    data:JSON.stringify(params),
    contentType:'application/json',
    
    headers:{'X-CSRFToken':getCookie('csrf_token')},

上面的getCookie() 在js中定义function

function getCookie(name) {
    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return r ? r[1] : undefined;
}
Zhan_y_y
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flash安全的一些总结WEB安全电脑资料.doc
12-21
- 不正确的`crossdomain.xml`配置可能导致敏感数据泄露或跨站请求伪造(CSRF)攻击。 - 使用`secure`属性可以防止未加密的数据传输,增加安全性。 - 需要注意限制允许的端口和自定义头,防止滥用和攻击。 7. **...
Flask CSRF 保护
咸鱼!!!
07-07 568
Flask CSRF 保护为什么需要 CSRF?实现 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所...
如何取消flaskcsrf token保护
最新发布
m0_57236802的博客
05-31 506
需要注意的是,CSRF保护是一种重要的安全机制,禁用它可能会让你的应用面临攻击的风险。在禁用CSRF保护之前,你应该仔细考虑是否有其他更安全的方法来实现你的需求。如果你只想对某个特定的表单禁用CSRF保护,可以在表单类设置。如果你是使用Flask-SeaSurf插件,可以在配置设置。如果你是使用Flask-WTF插件,可以在配置设置。然后在视图函数上使用。
Flask 项目解决csrf攻击
yutu75的博客
11-22 835
首先装个库吧,命令如下: pip install flask_wtf 在 Flask Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # 1. session加密的时候已经配置过了.如果没有在配置项设置,则如下: app.secret_key = "#此处可以写随机字符串#" # 2. 也可以写在配置类。 class Config(object): DE
flaskcsrf防御
zy_whynot的博客
03-25 747
flaskcsrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应的 cookie 设置 csrf_token 的值 2、在 Form 表单添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie取出 csrf_token (2)从 表单数......
Flask-WTF的CSRF保护详解
qq769747518的博客
08-11 3459
CSRF 保护 这部分文档介绍了 CSRF 保护。 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为...
Django @csrf_exempt不能在类视图工作(Django @csrf_exempt not working in class View)
amy6262的博客
08-21 1211
我在Django 1.9有一个使用SessionMiddleware的应用程序。我想在同一个项目为这个应用程序创建一个API,但是在做一个POST请求时,它不能使用@csrf_exempt注释。 settings.py MIDDLEWARE_CLASSES = [ 'corsheaders.middleware.CorsMiddleware', 'djan...
在线教学Flash播放器的设计与实现
12-02
Flash播放器应遵循最佳安全实践,例如限制跨域访问、加密敏感数据传输,以及正确处理用户输入,防止XSS和CSRF等攻击。 总的来说,在线教学Flash播放器的设计与实现是一个涵盖多种技术和概念的综合项目,...
热度网络flash小偷 -ASP源码.zip
01-21
在"热度网络flash小偷 -ASP源码.zip"这个压缩包,我们看到的是一套ASP源码,可能用于实现一个功能,比如抓取并展示网络上的Flash内容。Flash小偷通常是指一种能够从网页上提取并保存Flash对象的程序。在ASP,这...
在网页在线查看文档
04-04
1. **文件格式支持**:在网页直接查看的文档格式主要包括微软的Word文档(.doc和.docx)、Excel表格(.xls和.xlsx)、PDF(Portable Document Format)以及SWF(ShockWave Flash)。这些格式各有特点,例如Word和...
flask: The CSRF token is missing.
热门推荐
正心全栈编程
09-17 1万+
今天在做表单验证时,结果出现了上面这个问题。以前我弄都没有问题,为什么今天会出现这个问题?难道要关机重启??? 于是我便开始断点调试,结果发现在 if form.validate() 判断时出现了问题,然后便跳进去查看,结果发现在验证时多出了一个参数 { "csrf_token": [ "The CSRF token is missing." ] } 然后...
flask csrf保护的使用技巧
李余通的博客
10-16 1万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 ——百度百科 网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题,很好理解。flask 作为一个强带的web微框架,自然也是支持防范csrf攻击的。通过Flask-WT
Flask实现CSRF保护
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
学习FlaskCSRF
吴家健ken的博客
07-26 893
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 294
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
Flask-9 CSRF保护
xy_best_的博客
05-10 282
目录为什么需要 CSRF?实现AJAX故障排除 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块: from flask_wtf.csr
flask设置和取消csrf
qq_39112101的博客
08-09 3292
flask-wtf模块携带csrf校验,使用的时候需要开启,csrf的引入和实例化如下 在flaskflask-wtf模块携带csrf校验的,需要开启。在项目的起始位置开启CSRFProtect,然后对整个app保护。 表单设置csrf 前端使用csrf_token,属于teacher_form表单的可以独立使用,不受上面开启的影响 。 csrf的取消:@csrf...
flask——CSRFToken保护
brook_的博客
07-07 2380
根据 csrf_token 校验原理,具体操作步骤有以下几步: 1.后端生成 csrf_token 的值,在前端请求登录或者注册界面的时候将值传给前端,传给前端的方式可能有以下两种: 在模板的 From 表单添加隐藏字段 将 csrf_token 使用 cookie 的方式传给前端 2.在前端发起请求时,在表单或者在请求头带上指定的 csrf_toke...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值