关于开启CSRF会报400的问题

最新推荐文章于 2022-02-04 22:35:41 发布
最新推荐文章于 2022-02-04 22:35:41 发布
阅读量804 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cainiaojan/article/details/81349339
版权

当开始CSRF保护的时候,需要提交表单的时候都会报400的错误.然后查看了下源码:
class CSRFProtect(object):
“”“Enable CSRF protection globally for a Flask app.

::

    app = Flask(__name__)
    csrf = CsrfProtect(app)

Checks the ``csrf_token`` field sent with forms, or the ``X-CSRFToken``
header sent with JavaScript requests. Render the token in templates using
``{{ csrf_token() }}``.

See the :ref:`csrf` documentation.
"""

def __init__(self, app=None):
    self._exempt_views = set()
    self._exempt_blueprints = set()

    if app:
        self.init_app(app)

def init_app(self, app):
    app.extensions['csrf'] = self

    app.config.setdefault('WTF_CSRF_ENABLED', True)
    app.config.setdefault('WTF_CSRF_CHECK_DEFAULT', True)
    app.config['WTF_CSRF_METHODS'] = set(app.config.get(
        'WTF_CSRF_METHODS', ['POST', 'PUT', 'PATCH', 'DELETE']
    ))
    app.config.setdefault('WTF_CSRF_FIELD_NAME', 'csrf_token')
    app.config.setdefault(
        'WTF_CSRF_HEADERS', ['X-CSRFToken', 'X-CSRF-Token']
    )
    app.config.setdefault('WTF_CSRF_TIME_LIMIT', 3600)
    app.config.setdefault('WTF_CSRF_SSL_STRICT', True)

    app.jinja_env.globals['csrf_token'] = generate_csrf
    app.context_processor(lambda: {'csrf_token': generate_csrf})

解决方法:
1.把CSRF关掉
2. 有用到下面四个请求方法的时候’POST’, ‘PUT’, ‘PATCH’, ‘DELETE’需要在a’jax里面加headers:{
“X-CSRFToken”:getCookie(“csrf_token”)
},
只要是post请求都记得加上!!
生成 csrf_token 的值
将 csrf_token 的值传给前端浏览器
在前端请求时带上 csrf_token 值

cainiaojan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
提交表单400错误,提示 “您提交的数据无法验证”
aa545785的博客
10-07 2213
提交表单400错误,提示 “您提交的数据无法验证” 原来是csrf验证的问题,因为表单是自己写的,在Yii框架中,为了防止csrf攻击,对post的表单数据封装了CSRF令牌验证。 解决办法关闭csrf验证 frontend/config/main-local.php中 方法一、在配置文件中关闭 'components'=>array( 'request'=...
启用Csrf后POST数据时出现的400错误
10-23
主要介绍了启用Csrf后POST数据时出现的400错误的相关资料,需要的朋友可以参考下
解决YII POST数据时因启用Csrf出现的400错误 [ 2.0 版本 ]
Summer
08-17 381
第一种解决办法是关闭Csrf public function init(){ $this->enableCsrfValidation = false;} 第二种解决办法是在form表单中加入隐藏域 <input name="_csrf" type="hidden" id="_csrf" value="<?= Yii::$app->request->c...
php上传图片400错误,启用Csrf后POST数据时出现的400错误
weixin_39929465的博客
03-10 218
最近一直出现这样的错误,一直在查找原因,偶然看到一篇解决的文章,分享给大家看看。第一种解决办法是关闭Csrfpublic function init(){$this->enableCsrfValidation = false;}第二种解决办法是在form表单中加入隐藏域第三种解决办法是在AJAX中加入_csrf字段var csrfToken = $('meta[name="csrf-toke...
解决POST数据时因启用Csrf出现的400错误
微麦PHP
06-27 319
**第一种解决办法是关闭Csrf**public function init(){ $this->enableCsrfValidation = false; }**第二种解决办法是在form表单中加入隐藏域**<input name="_csrf" type="hidden" id="_csrf" value="<?= Yii::$app->request->csrfToken ?>">**
flask_wtf flask 的 CSRF 源代码初研究
weixin_30919571的博客
06-18 150
因为要搞一个基于flask的前后端分离的个人网站,所以需要研究下flask的csrf防护原理. 用的扩展是flask_wtf,也算是比较官方的扩展库了. 先上相关源代码: 1 def validate_csrf(data, secret_key=None, time_limit=None, token_key=None): 2 """Check if the given...
解决django前后端分离csrf验证的问题
09-19
在前后端分离的Web开发模式下,Django的CSRF(Cross Site Request Forgery,跨站请求伪造)保护机制可能引发问题,因为它主要是为传统的基于表单的提交设计的。然而,现代应用往往使用Ajax进行异步通信,这就需要...
Shiro开启CSRF表单防护
12-08
Shiro 开启 CSRF 表单防护 CSRF(Cross-Site Request Forgery,跨站点请求伪造)是一种常见的 web 攻击方式,攻击者可以盗用用户的身份,以用户的名义发送恶意请求,对服务器来说这个请求是完全合法的,但却完成了...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
关于django 1.10 CSRF验证失败的解决方法
01-01
不是取消了就是参数没有了,网上搜到的帖子也没说明用的是什么版本的django,所以经常出现搬运过来的代码解决不了问题的情况,不过基本上遇到的坑不多,最坑的就是在提交post表单时弄了两天的CSRF验证失败问题,特此...
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2217
在上一篇文章中,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例中,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
解决Django中csrf错的办法
无名小站
08-31 478
很多人选择在settings.py 中注释掉 'django.middleware.csrf.CsrfViewMiddleware', 错误是没了,但网页的安全性也因此降低 CSRF(Cross-site request forgery)跨站请求伪造,欺骗用户的浏览器发送HTTP请求给目标站点。主要是在提交数据时,恶意攻击。 由此我们换一种思路, 在提交信息时,我们在for...
django 同时提交表单和file_Python学习第六十二天记录打call:Django 启用和禁用CSRF功能...
weixin_39872872的博客
12-20 96
1.Django CSRF的原理CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的;2.CSRF认证在项目的settings文件中有一个配置项MIDDLEWARE,表示默认Django启用csr...
单独启用spring-security配置和spring-security集成cas配置
weixin_41758407的博客
05-25 1633
一:单独启用配置思路: spring-security.xml: 1.配置路径对应的权限 2.配置用户权限授权 web.xml: 1.配置spring-security过滤器 2.配置spring-security监听器,防止session固话攻击和session并发控制 二:spring-security集成cas配置思路: spring-security-cas.xml: 1.配置路径对应...
csrf攻击与防护—2用flask简单演示防范csrf攻击之referer
ACBC12345的博客
12-06 634
接上篇 csrf攻击与防护—1用flask简单演示csrf攻击 以下是根据referer字段防止csrf攻击的新代码: bank.py from flask import render_template, Flask, request, jsonify, make_response app = Flask("haha") YOUR_BANK_COUNT = 1000000000 TOKEN = "0ofjsfnnfgxgxgxgreituto" @app.route("/") def root():
Flask的csrf_token的用法
Allen . Liu
09-23 2616
在flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 在flask中开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
表单 CSRF verification failed 错的解决
hewei0241的专栏
12-11 4409
如果你第一次用表单提交数据,很可能遇到这么一个错:CSRF verification failed. Request aborted. 这个问题如何解决呢? 1. 在表单里加上{% csrf_token %}。 根据提示 In the template, there is a {% csrf_token %} template tag inside each POST for
java csrf_Java解决CSRF问题
最新发布
06-08
Java中可以通过以下方式解决CSRF问题: 1. 验证请求来源:在服务器端验证请求是否来自合法的来源。可以通过在每个表单中添加一个隐藏域,保存一个token值,然后将这个token值与session中保存的token值进行比较。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值