Flask 中的CSRF保护

最新推荐文章于 2024-07-30 07:55:19 发布
最新推荐文章于 2024-07-30 07:55:19 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 笔记 文章标签: CSRF Flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zhan_y_y/article/details/80046923
版权

1.开启CSRF保护

在创建app实例时
from flask_wtf.csrf import CSRFProtect

def get_app(config_name):
    # 创建实例
    app = Flask(__name__)
    #  开启csrf保护
    CSRFProtect(app)
2.对页面HTML加上csrf_token的标签
@html_blue.route('/<re(".*"):file_name>')
def web_html(file_name):
    # 当file_name 为空时 默认访问index.html
    #     因此要自定义正则转换器
    if not file_name:
        file_name = 'index.html'

    if file_name != 'favicon.ico':
        file_name = 'html/%s' % file_name

    # 生成响应对象
    response = make_response(current_app.send_static_file(file_name))
    
    # 生成csrf_token
    csrf_tolen = generate_csrf()
    # 将csrf_token 写入cookie中
    response.set_cookie('csrf_token', csrf_tolen)

    return response
3.对的POST请求的AJAX 的headers添加“X-CSRFToken"
$.ajax({
    url:'/api/1.0/sms_code',
    type:'post',
    data:JSON.stringify(params),
    contentType:'application/json',
    
    headers:{'X-CSRFToken':getCookie('csrf_token')},

上面的getCookie() 在js中定义function

function getCookie(name) {
    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return r ? r[1] : undefined;
}
Zhan_y_y
关注
专栏目录
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
Flask CSRF 保护
咸鱼!!!
07-07 569
Flask CSRF 保护为什么需要 CSRF?实现 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所...
flask使用CSRFProtect
python_tty的专栏
03-29 2791
csrf是跨站请求伪造攻击,它的原理是诱导用户浏览器访问已经认证过的网站,从而实现自己的攻击目的,危害性很大,所以我们在网站开发过程要加入csrf保护。现在的web框架都提供了相应的csrf protect方法。 falskcsrf protect使用: from flask_wtf.csrf import CSRFProtect csrf = CSRFProtect(app) ...
flaskCSRF保护机制
Junc_hu的博客
10-14 371
如果是发送from表单, 则使用原来的隐藏表单的形式(生成&amp;派发令牌) &lt;form method="post" action="/"&gt; &lt;input type="hidden" name="csrf_token" value="{{ csrf_token() }}" /&gt; &lt;/form&gt; 如果是AJA
Flaskcsrf_token的设置
qq_44906497的博客
10-18 245
【代码】Flaskcsrf_token的设置。
Flask-WTF的CSRF保护详解
qq769747518的博客
08-11 3466
CSRF 保护 这部分文档介绍了 CSRF 保护。 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为...
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 298
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
如何防止CSRF攻击?
ccyzq的博客
03-17 4355
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
XSS、CSRF攻击以及预防手段
南栀的博客
03-12 4894
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
同源策略、XSS、CSRF
luluoluoa的博客
04-22 593
同源策略 同源:两个页面(接口)的协议、域名、端口号都相同 同源策略就是浏览器的一个安全策略,它阻止了不同源之间进行的数据交互,不然其它网站的js脚本如果可以控制本网站就麻烦了。不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略其实就是为了防止csrf的。 但是嵌入到页面的<script src="..."></script>,<img>,<link>,<iframe>是没有限制的,会导致csrf攻击 XSS XSS.
跨站请求伪造(CSRF)进阶
最新发布
悦分享
07-30 105
CSRF的全名是Cross Site Request Forgery,翻译成文就是跨站点请求伪造。它是一种常见的Web攻击,但很多开发者对它很陌生。CSRF也是Web安全最容易被忽略的一种攻击方式,甚至很多安全工程师都不太理解它的利用条件与危害,因此不予重视。但CSRF在某些时候却能够产生强大的破坏性。我们先看一个XSS Payload 例子:登录Sohu博客后,只需要请求这个URL,就能够把编号为“156713012”的博客文章删除。这个URL同时还存在CSRF漏洞。
如何取消flaskcsrf token保护
m0_57236802的博客
05-31 512
需要注意的是,CSRF保护是一种重要的安全机制,禁用它可能会让你的应用面临攻击的风险。在禁用CSRF保护之前,你应该仔细考虑是否有其他更安全的方法来实现你的需求。如果你只想对某个特定的表单禁用CSRF保护,可以在表单类设置。如果你是使用Flask-SeaSurf插件,可以在配置设置。如果你是使用Flask-WTF插件,可以在配置设置。然后在视图函数上使用。
Flask实现CSRF保护
热门推荐
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
flask django 的 csrf对比
Json_Steve的博客
01-15 492
flask实现csrf: 在访问页面时,后台就会利用from flask_wtf.csrf import generate_csrf生成csrf,并且把他存储到cookie里。 csrf_token = generate_csrf() response.set_cookie(‘csrf_token’, csrf_token) 生成的csrf会默认存到session,存到redis里。
FlaskCSRF保护
be_clever的博客
12-06 265
一、全局CSRF保护 from flask_wtf import CSRFProtect CSRFProtect(app) 二、蓝图CSRF保护过滤 from flask_wtf import CSRFProtect ...
flaskcsrf防御
zy_whynot的博客
03-25 747
flaskcsrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应的 cookie 设置 csrf_token 的值 2、在 Form 表单添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie取出 csrf_token (2)从 表单数......
Flask-9 CSRF保护
xy_best_的博客
05-10 282
目录为什么需要 CSRF?实现AJAX故障排除 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块: from flask_wtf.csr
flask项目之关于csrf攻击原理及解决方案
weixin_30301183的博客
06-08 125
防止 CSRF 攻击 步骤 在客户端向后端请求界面数据的时候,后端会往响应的 cookie 设置 csrf_token 的值 在 Form 表单添加一个隐藏的的字段,值也是 csrf_token 在用户点击提交的时候,会带上这两个值向后台发起请求 后端接受到请求,以会以下几件事件: 从 cookie取出 csrf_token 从 表单数据取出来隐藏的 cs...
Flask 项目解决csrf攻击
yutu75的博客
11-22 836
首先装个库吧,命令如下: pip install flask_wtf 在 Flask Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # 1. session加密的时候已经配置过了.如果没有在配置项设置,则如下: app.secret_key = "#此处可以写随机字符串#" # 2. 也可以写在配置类。 class Config(object): DE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值