21 - form表单验证 和 csrf跨站请求伪造

最新推荐文章于 2024-04-01 02:32:04 发布
最新推荐文章于 2024-04-01 02:32:04 发布
阅读量335 收藏
点赞数
分类专栏: Flask 文章标签: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58250910/article/details/132555494
版权

一. Form 表单验证

        (1). 官网:      

https://wtforms.readthedocs.io/en/2.3.x/

        (2). 安装第三方库

pip install Flask-WTF

         (3). form类型和校验 

# Field类型:
    StringField  # 字符串
    PasswordField # 密码
    IntegerField # 整形
    DecimalField # 浮点,可以指定小数点位数
    FloatField # 浮点
    BooleanField # 布尔
    RadioField # 单选
    SelectField # 下拉列表
    DatetimeField # 日期
    ....
 
# 验证:
    DataRequired # 必填
    EqualTo  # 和谁保持一致
    IPAddress # 验证ip地址
    Length # 长度
    NumberRange # 数字范围
    URL # 必须符合路径格式
    Email # 邮箱
    Regexp # 正则

 

二. csrf跨站请求伪造

        (1). settings.py 设置随机字符串

SECRET_KEY = "HAJSDLASDNADALK" # 随机字符串

        (2). app.py 全局使用csrf保护

csrf = CSRFProtect(app=app)

三. 代码示例

        (1). 新建form.py 文件,定义 form 表单数据
import re

from flask_wtf import FlaskForm
from wtforms import StringField, PasswordField
from wtforms.validators import DataRequired, Length, ValidationError, EqualTo, Regexp


class UserForm(FlaskForm):
    # StringField:text文本框  ;DataRequired():必填 ;Length():长度; EqualTo():和谁保持一致
    name = StringField(label='用户名', validators=[DataRequired(), Length(min=6, max=12, message="用户名长度必须在6~12位之间")])
    password = PasswordField(label="密码", validators=[DataRequired(), Length(min=6, max=12, message="密码长度必须在6~12位之间")])
    confirm_pwd = PasswordField(label="确认密码",
                                validators=[DataRequired(), Length(min=6, max=12, message="密码长度必须在6~12位之间"),
                                            EqualTo('password', "两次密码不一致")])

    phone = StringField(label="手机号码", validators=[DataRequired(), Length(min=11, max=11, message="手机号码必须11位长度")])

    # 定义钩子方法,对用户名增加校验:validate_字段名
    def validate_name(self, data):
        if self.name.data[0].isdigit():
            raise ValidationError("用户名不能以数字开头")

    def validate_phone(self, data):
        phone = data.data
        if not re.search(r'^1[35678]\d{9}$', phone):
            raise ValidationError("手机号码格式错误")
        (2). view.py 调用表单对象,返回给前端
from flask import Blueprint, render_template
from util.form import UserForm

user_bp = Blueprint('user', __name__)


@user_bp.route('/',methods=["GET","POST"])
def hello_world():
    uform = UserForm()  # 表单类对象
    if uform.validate_on_submit():  # 主要通过validate_on_submit 进行校验
        print(uform.name)
        print(uform.password)
        return "提交成功"
    return render_template("user/index.html", uform=uform)
        (3). 前端使用表单对象定义form表单, post请求必须定义csrf_token
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>用户页面</title>
    <style>
        p span {
            font-size: 14px;
            color: red;
        }
    </style>
</head>
<body>
<form action="{{ url_for('user.hello_world') }}" method="post" novalidate>
    {#  post提交.必须定义 csrf_token 这句代码  #}
    {{ uform.csrf_token }}
    <p>
        {# form中定义的 label : 输入框 #}
        {{ uform.name.label }}:{{ uform.name }}
        <span>{% if uform.name.errors %}{{ uform.name.errors.0 }}{% endif %}</span>
    </p>
    <p>
        {{ uform.password.label }}:{{ uform.password }}
        <span>{% if uform.password.errors %}{{ uform.password.errors.0 }}{% endif %}</span>
    </p>

    <p>
        {{ uform.confirm_pwd.label }}:{{ uform.confirm_pwd }}
        <span>{% if uform.confirm_pwd.errors %}{{ uform.confirm_pwd.errors.0 }}{% endif %}</span>
    </p>

    <p>
        {{ uform.phone.label }}:{{ uform.phone }}
        <span>{% if uform.phone.errors %}{{ uform.phone.errors.0 }}{% endif %}</span>
    </p>
    <p><input type="submit" value="提交"></p>
</form>
</body>
</html>

一个微不足道的bug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站请求伪造攻击(CSRF)的预防
my_one_piece的博客
09-30 646
跨站请求伪造攻击(CSRF)的预防 问题及解决思路 名词解释: 表单:泛指浏览器端用于客户端提交数据的形式;包括a标签、ajax提交数据、form表单提交数据等,而非对等于HTML中的form标签。 跨站请求伪造CSRF,Cross-site request forgery)是另一种常见的攻击。攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据或执行
Cookie-FormCSRF防御机制的不足与反思
huaieli1的博客
10-31 436
今天看了 https://hackerone.com/reports/26647 有感。这个漏洞很漂亮,另外让我联想到很多之前自己挖过的漏洞和写过的程序,有感而发。 Django已经在昨天修复了该漏洞 https://www.djangoproject.com/weblog/2016/sep/26/security-releases/ 0x01 借助Session防御CSRF漏洞
PHP表单token验证防CSRF攻击
最新发布
高性价比服务器就选:蓝易云
04-01 323
这种攻击方式的危害性很大,因此,对于Web开发者来说,了解并实施有效的防御措施是非常重要的。然而,它并不是万能的,还需要配合其他的安全措施,如使用HTTPS、设置正确的CORS策略等,才能提供全面的安全保护。表单令牌是一种服务器生成的随机字符串,每次生成表单时,都会在服务器上创建一个新的令牌,并将其嵌入到表单中。如果匹配,则表单提交是合法的,否则,服务器将拒绝表单提交。这可以通过比较提交的令牌和会话中存储的令牌来实现。如果它们匹配,则表单提交是合法的,否则,我们应该拒绝表单提交,并向用户显示一个错误消息。
表单form跨站请求伪造CSRF防御
龚清林的博客
03-16 371
CSRF防御,表单防御
CSRF(1)-----定义,原理和防护-----from表单提交数据
Z_Grant的博客
09-22 1553
文章目录一,定义和原理(1)与XSS不同之处(2)CSRF实现的基础前提(3)????CSRF的危害(4)CSRF的利用条件(5)????为什么会有CSRF二,cookie与CSRF(1)浏览器所持有的cookie分为两种:(2)区别(3)与CSRF的关系三,漏洞利用(1)通过GET请求方式发起(2)只能由GET请求发起? 一,定义和原理 CSRF(Cross Site Request Forgery, 跨...
Flask框架(四)--分页,form表单类,csrf
一个非常正经的人的博客
10-17 278
一、分页 django中使用封装好的分页器paginator进行分页,它为我们提供了很多封装好的方法。 flask中需要自己封装。 封装 pager.py import math class Pager(): # data:列表 def __init__(self,data,page_size): ''' :param data: 数据 ...
基于form表单和ajax提交数据,csrftoken验证
m0_73399600的博客
11-13 704
pass。
Flask模拟实现CSRF攻击的方法
12-24
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…… 造成的问题...
Python Flask-web表单使用详解
01-20
默认情况下,Flask-WTF能够保护所有表单免受跨站请求伪造的攻击。恶意网站把请求发送到被攻击者已登录的网站时就会引起CSRF攻击。 为了实现CSRF保护,Flask-WTF需要程序设置一个密钥。Flask-WTF使用这个密钥生成加密...
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
通常,当存在真正的跨站请求伪造时,或者Django的CSRF机制没有被正确使用时,就会出现这种情况。至于邮递表格,你须确保: 您的浏览器正在接受cookie。 视图函数将一个请求传递给模板的呈现方法。 在模板中,每个...
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
第二节 无防护的CSRF漏洞利用-01
09-15
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web应用安全漏洞,攻击者可以通过欺骗用户在当前已登录的Web应用上执行非法操作。今天,我们将深入探讨无防护的CSRF漏洞利用,了解如何构造GET型和...
django中写form表单时csrf_token的作用
weixin_43226574的博客
01-11 698
csrf_token 是为了防止csrf跨站请求伪造),什么是csrf,这篇文章讲的很好:这里。文章最后也说到了,防止csrf的手段就有给form加个token。 在渲染模板时,django会把 {% csrf_token %} 替换成一个&lt;input type=“hidden”, name=‘csrfmiddlewaretoken’ value=服务器随机生成的token&gt;元...
提交form表单post时csrf_token的作用(cookie的设置)
weixin_30677617的博客
05-23 1641
客户端用户发送 POST 服务器端设置cookie csrf_token随机 客户端携带上csrf_token发送请求 get请求的时候需要设置 post请求的时候应该已经携带csrf_token 后台亩设置set_cookie和csrf_token: 01-模板标签方式 在form表单中设置 {% csrf_token %} 02-装饰器 fr...
web网站安全 CSRF介绍及解决方案
半夏_2021的博客
04-26 1911
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”。 是指恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。
最近WEB安全扫描问题汇总
热门推荐
ivan0609的专栏
06-15 1万+
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery
CSRF安全漏洞修复
Innocence_0的博客
02-02 710
本处判断只判断接口,对页面进行放行(判断是否为页面的依据是接口的controller和请求页面的controller的继承类不同,接口的集成的类是AbstractAPIController,在每个请求中增加referer字段,如果没有这个字段则说明是伪造请求。然后判断referer字段的域名和request的请求域名是否相同,如果不同则说明是伪造请求。页面的集成类是 AbstractController,这两个类是自己写的。除了这些还需要拦截器配置。
from表单的安全措施,csrf_token
weixin_43641304的博客
12-28 1608
表单验证,防止跨站攻击 {% csrf_token %}  {#  随机生成一个  value  的值,值为字符串,用于表单验证,防止跨站攻击(生成默认隐藏,不显示在页面上,只显示在结构里)   #} 生成效果 ...
Django中的CSRF(跨站请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会自动在表单中添加一个隐藏的input元素来存储CSRF令牌,例如: ```html <form method="post"> {% csrf_token %} <!-- 其他表单元素 --> </form> ``` 当用户提交表单时,Django会验证请求中的CSRF令牌是否与服务器端生成的令牌匹配。如果不匹配,则Django会抛出一个`CSRFTokenError`异常,阻止请求继续进行。 除了在表单中添加CSRF令牌外,还可以使用Django提供的`csrf_exempt`装饰器来排除某个视图函数或类的CSRF验证,例如: ```python from django.views.decorators.csrf import csrf_exempt from django.http import HttpResponse @csrf_exempt def my_view(request): # 不进行CSRF验证的代码 return HttpResponse('OK') ``` 需要注意的是,如果你关闭了CSRF验证,或者在某些情况下不使用CSRF令牌,那么你需要确保其他安全措施的存在,以保证你的应用程序不会受到跨站请求伪造攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值