flask—wtf中的csrf保护

最新推荐文章于 2022-10-12 16:08:09 发布
最新推荐文章于 2022-10-12 16:08:09 发布
阅读量666 收藏
点赞数 1
分类专栏: flask 文章标签: flask   csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a650156760/article/details/84788083
版权

刚刚碰到一个以前没怎么注意的问题,csrf保护。

什么是csrf?

CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,简单的说就是攻击者可以盗用受害者的名义去发送各种请求,通常是通过某些方式借助受害者浏览器中存储的cookie值来实现的。

Flask-WTF的CSRF保护

flask-wtf实现csrf保护是很简单的,一般情况下是默认开启的,只需要在使用前配置'SECRET_KEY',然后在模板中加入:

{{ form.submit }}
{{ form.csrf_token }}

即可实现csrf保护。

一个简单的实现

在添加之前,登录界面的"登录"按钮代码:

<input class="btn btn-primary btn-block btn-flat" id="submit" name="submit" type="submit" value="登录">

在添加之后的效果:

<input class="btn btn-primary btn-block btn-flat" id="submit" name="submit" type="submit" value="登录">
<input id="csrf_token" name="csrf_token" type="hidden" value="IjQxZGYyZjQwMTFmMmM4ZDE2MWY3OWVjMmNjNzRjOGExYjg3ZTlhZGIi.XAYcoQ.FZXXEJyQpy3f8Ye0-gdIhEjbHn0">

可以看到添加了一个隐藏的字段。

如果此时打开f12,再点击登录按钮,就会发现提交的post请求中,cookie里面保存的session前面多了一长串的"乱码",这段乱码应该就是添加的token。

ps:其实写这篇的时候我还注意到一个很常见的问题,那就是cookie跟session的关系,以后有时间再整理下相关信息吧

 

参考资料:

https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/#icomments

https://ninghao.net/blog/2834(这是关于token的理解)

https://flask-wtf.readthedocs.io/en/stable/

小刘666
关注
专栏目录
Python FlaskFlask-WTF,表单验证,CSRF验证
houyanhua1的专栏
12-30 2209
使用Flask-WTF表单扩展,1、可以帮助进行CSRF验证。2、帮助我们快速定义表单模板。3、而且可以帮助我们在视图验证表单的数据 安装Flask-WTF pip install Flask-WTF   demo.py(Flask-WTF,定义表单模型类,定义视图): # coding:utf-8 from flask import Flask, render_template,...
Python:Flask+wtf+csrf单表单及多表单验证
Y.z-努力才有成功的机会...
12-30 378
forms表单代码: import re from flask_wtf import FlaskForm from wtforms import StringField, PasswordField, SubmitField, DateField, IntegerField from wtforms.validators import DataRequired, ValidationError # field为字段对象,适用于多表单 def phone_required(form, field):
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 305
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
Flask-WTF表单
mophite的博客
11-18 214
Flask-WTF表单 Web表单 Web 表单是 Web 应用程序的基本功能。 它是HTML页面负责数据采集的部件。表单有三个部分组成:表单标签、表单域、表单按钮。表单允许用户输入数据,负责HTML页面数据采集,通过表单将用户输入的数据提交给服务器。 在Flask,为了处理web表单,我们可以使用 Flask-WTF 扩展,它封装了 WTForms,并且它有验证表单数据的功能 WTForms...
Flask-wtfcsrf保护机制
weixin_44747103的博客
10-12 147
Flask-wtfcsrf保护机制
初窥CSRF攻击方式以及Flask-WTF
楼上小宇_home
10-28 315
含义 CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 解释 这幅图非常形象的解释了CSRF原理的具体过程。 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤: 登录受信任网站A,并在本地生成Cookie。 在不登出A的情况下,访问危险...
Flask框架 CSRF 保护实现方法详解
01-02
Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你...
Flask模拟实现CSRF攻击的方法
09-20
以下是一个简化的示例,展示了如何在 Flask 应用集成 CSRF 防御: ```python from flask_wtf import FlaskForm from wtforms import StringField, PasswordField, SubmitField from wtforms.validators import ...
Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求
paul0926的博客
07-03 4725
Flask--CSRFToken保护什么是csrfcsrf具体过程csrf保护实现后端写保护表单提交添加保护自定义错误响应和关闭保护ajax提交 前文: 查看官方文档:http://www.pythondoc.com/flask-wtf/csrf.html#id4 什么是csrf 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包...
flask 框架(其五)表单操作与表单CSRF阻止
05-20 146
1,flask对表单的操作  1),首先生成表单字段验证的类!类里面包含各种表单字段!表单字段是是通过类来生成的  2),然后通过类里面传参来指定调用各个方法,实现特定的功能! from flask import Flask, render_template # 导入 wtf 扩展实现的表单的基类 from flask_wtf import FlaskForm # 导入wtf...
Flask框架——Flask-WTF表单:数据验证、CSRF保护
霖hero
07-22 1308
为name添加自定义validata_%s,并传入输入值data#使用isdigit检验是否为数字开头,使用data[0]获取数据的首位raiseValidationError('用户名不能以数字开头')#若验证不通过则抛出异常这里我们为form.py表单类的name添加自定义验证,所以自定义函数名为validate_name,如果我们为表单类的password添加自定义验证时,自定义函数名为validate_password,也就是说自定义验证函数名要和表单类字段名要对应。.........
flask设置和取消csrf
qq_39112101的博客
08-09 3309
flask-wtf模块携带csrf校验,使用的时候需要开启,csrf的引入和实例化如下 在flaskflask-wtf模块携带csrf校验的,需要开启。在项目的起始位置开启CSRFProtect,然后对整个app保护。 表单设置csrf 前端使用csrf_token,属于teacher_form表单的可以独立使用,不受上面开启的影响 。 csrf的取消:@csrf...
flaskcsrf防御
zy_whynot的博客
03-25 758
flaskcsrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应的 cookie 设置 csrf_token 的值 2、在 Form 表单添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie取出 csrf_token (2)从 表单数......
superset安装和配置(1)
京河小蚁的博客
12-21 3551
目录 入门 云原生 从Docker开始 OS依赖 Python的virtualenv Python的设置工具和pip Superset安装和初始化 适当的WSGI HTTP Flask-AppBuilder权限 负载均衡器后面的配置 配置 数据库依赖 我的Superset+win10+pycharm开发环境搭建 我的腾讯云Linux服务器搭建superset 入门 ...
superset docker 部署
皮皮猪的博客
06-27 952
superset酷炫的图表 Superset 一、使用自己的数据库 拉取项目 // 创建目录用于存放项目 mkdir -p /mnt/superset cd /mnt/superset git clone https://github.com/amancevice/superset.git 配置数据库等 这里默认你已创建了你自己的空数据库和具有读写该数据库权限的用户,到下面初始化时会自动在你的...
学习FlaskCSRF
吴家健ken的博客
07-26 902
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
Flask实现CSRF保护
热门推荐
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
使用flask_wtfcsrf时的bug问题
寒风未停的博客
03-09 2994
之前接收一个老项目,版本迭代的时候,发现了一个问题,用户在登出的时候,再次登录时,报400错误, The CSRF session token is migging. 查了查代码,才发现问题。 这个flask项目是用flask_wtfcsrf 创建的csrf_token的时候, #创建一个csrf_token值 csrf_token=csrf.generate_csrf() 自动会在...
Flask框架在Ajax请求开启CSRF保护
kikaylee的专栏
03-19 3314
前面Flask学习总结笔记(5)– Form表单对表单提交开启CSRF保护进行了详细讲解。虽然Ajax不同于表单提交,但是我们同样可以手动利用相同的办法,开启CSRF保护
flask项目,单元测试,WTF_CSRF_ENABLED=False 不起效果
最新发布
05-25
Flask WTF_CSRF_ENABLED 是一个 Flask-WTF 扩展提供的选项,它用于启用或禁用 CSRF 保护。当设置为 False 时,应用程序应该不会执行 CSRF 检查。如果您的应用程序已经正确设置了 Flask-WTFCSRF 保护,但在设置WTF_CSRF_ENABLED=False 后仍然无法禁用 CSRF 保护,则可能是因为您的测试代码的设置被覆盖了。 请确保测试代码的设置正确,并且没有被其他设置覆盖。如果您使用的是 Flask 自带的测试客户端,可以在测试代码使用 app.test_client() 来访问应用程序,并使用 app.config 来设置配置选项,例如: ```python def setUp(self): app.config['WTF_CSRF_ENABLED'] = False self.client = app.test_client() ``` 如果您使用的是 Flask-Testing 扩展进行测试,则可以使用其提供的 assert_template_used 方法来检查模板是否正确渲染,例如: ```python def test_index_page(self): response = self.client.get('/') self.assert_template_used('index.html') ``` 请注意,如果您使用了其他的 Flask 扩展或间件,可能会对 CSRF 保护产生影响。在这种情况下,请查看扩展或间件的文档,以了解如何正确设置 CSRF 保护
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值