Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求

最新推荐文章于 2024-07-31 08:00:00 发布
最新推荐文章于 2024-07-31 08:00:00 发布
阅读量4.7k 收藏 16
点赞数 2
分类专栏: Flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paul0926/article/details/94544048
版权
本文详细介绍了Flask应用中防止CSRF攻击的实现,包括后端写保护、前后端不分离项目中的表单提交保护以及自定义错误响应。同时,针对前后端分离项目,讨论了如何处理CSRF令牌,并解释了同源策略和使用flask-cors进行跨域设置的方法。
摘要由CSDN通过智能技术生成

Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求


前文:
查看官方文档: http://www.pythondoc.com/flask-wtf/csrf.html#id4

什么是csrf

为什么需要 CSRF?
Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。

例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。

csrf具体过程

根据 csrf_token 校验原理,具体操作步骤有以下几步:

  • 1.后端生成 csrf_token 的值,在前端请求登录或者注册界面的时候将值传给前端,传给前端的方式可能有以下两种:
  • 在模板中的 From 表单中添加隐藏字段
  • 将 csrf_token 使用 cookie 的方式传给前端
  • 2.在前端发起请求时,在表单或者在请求头中带上指定的 csrf_token
  • 3.后端在接受到请求之后,取到前端发送过来的 csrf_token,与第1步生成的 csrf_token 的值进行校验
  • 4.如果校验对 csrf_token 一致,则代表是正常的请求,否则可能是伪造请求,不予通过

csrf保护实现

后端写保护

为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块:

from flask_wtf.csrf import CsrfProtect
CsrfProtect(app)

像任何其它的 Flask 扩展一样,你可以惰性加载它:

from flask_wtf.csrf import CsrfProtect
csrf = CsrfProtect()

def create_app():
    app = Flask(__name__)
    csrf.init_app(app)

Note
你需要为 CSRF 保护设置一个秘钥。通常下,同 Flask 应用的 SECRET_KEY 是一样的。

如果是前后端不分离项目

表单提交添加保护

如果模板中存在表单,你不需要做任何事情。与之前一样:

<form method="post" action="/">
    {
  { form.csrf_token }}
</form>

但是如果模板中没有表单,你仍然需要一个 CSRF 令牌:

<form method
最低0.47元/天 解锁文章
paul0926
关注
专栏目录
flask token认证
aimiandai4698的博客
01-11 475
前后端分离的项目中,我们现在多半会使用token认证机制实现登录权限验证。 token通常会给一个过期时间,这样即使token泄露了,危害期也只是在有效时间内,超过这个有效时间,token过期了,就需要重新生成一个新的token。 如何生成token呢? 1、创建用户数据库,本文会使用flask-SQLAlchemy(ORM)去管理数据库:   首先创建一个用户模型:包括了用户...
前后端分离解决CSRF问题
ws_flying的博客
10-22 3333
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
构建Flask前后端不分离项目(附Python Demo)
码农研究僧的博客
07-31 980
Flask用来构建后端 API,并且能够处理静态文件和模板渲染
Python开发【Django】:中间件、CSRF
abchhcba2014的博客
02-04 323
CSRF 1、概述   CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。   为了避免上面情况的出现,Djang...
Flaskcsrf_token校验
weixin_42218868的博客
08-08 1149
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 1、首先在配置文件中开启CSRFProtect 2、视图中实例化forms类 3、前端使用csrf_token 4、非flask自创的form表单即前端的form表单使用csrf_t...
Flask中的csrf_token的设置
qq_44906497的博客
10-18 255
【代码】Flask中的csrf_token的设置。
flask中使用refresh token来刷新access token前后端分离
m0_61143764的博客
07-24 1390
refresh token
Flask实现跨域请求的处理方法
09-20
首先,我们可以使用一个叫做flask-cors的扩展库来处理跨域请求。安装flask-cors的方法是通过pip,使用命令`pip install flask-cors`。flask-cors库提供了灵活而强大的方式来解决跨域问题。 我们可以采用三种方式来...
python vue 前后端分离_使用Flask和Vue.js实现前后端分离的全栈开发
weixin_29801567的博客
12-30 1946
在工作中,我使用Vue.js有一年多了,因为Vue.js文档完善,上手简单,打包方便等诸多优势,所以是目前很流行的前端框架,本项目也选择Vue.js作为前端框架。对于后端,本项目选择的是比较好上手、轻量级的python后台框架:Flask。我前前后后花了大概两周的时间,踩了很多坑,参考了很多博客,最终使用Flask + Vue.js + Vuetify-UI 实现了一个比较新颖的喵星君大大四柱八字...
uniapp和flask实现跨域请求
anananajiushiwo的博客
07-03 442
在使用uniapp开发前端应用时,你可能会遇到需要与后端服务器(比如使用Flask框架开发的服务器)进行跨域请求的情况。跨域请求是指从一个源(域名、协议、端口)向另一个源的资源发送请求。通过上述步骤,你应该能够在使用uniapp开发的前端应用和使用Flask开发的后端应用之间实现跨域请求。记得在部署你的应用时,考虑到安全性,只允许来自可信源的跨域请求。这段代码将会允许所有域向你的Flask应用发送跨域请求。方法,你可以向Flask后端发送请求。在你的Flask应用中,你需要导入并初始化。
详解Flask前后端分离项目案例
09-16
主要介绍了Flask前后端分离项目案例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Python库 | Flask-Cors-2.0.0rc1.tar.gz
03-05
`Flask-Cors`广泛应用于前后端分离的项目中,其中前端(如React、Vue或Angular)运行在开发服务器,而API服务由Flask提供。它也适用于需要开放API供第三方使用的Web服务。 总之,`Flask-Cors`是Flask开发者处理跨域...
前后端分离使用 CSRF
Leon_Jinhai_Sun的博客
05-23 685
前后端分离开发时,只需要将生成 csrf 放入到cookie 中,并在请求时获取 cookie 中令牌信息进行提交即可。 修改 CSRF 存入 Cookie @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { htt
Flaskcsrf_token的用法
Allen . Liu
09-23 2682
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 在flask中开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
前后端分离项目token怎么验证_前后端分离项目使用token登陆
weixin_39769091的博客
02-05 499
前端代码import importlibimport osfrom flask import Flask, url_for, request, render_templateapp = Flask(__name__)app.jinja_env.auto_reload = Trueapp.config['TEMPLATES_AUTO_RELOAD'] = Truehtml = """function...
前后端分离 使用spring security的csrf
qq_44989936的博客
09-01 1671
导读:读者可以先看一下CsrfFilter类,token作用于所有post,即使没有登陆 CsrfFilter 逻辑如下: ①熟悉基本类 CsrfToken 保存了token public interface CsrfToken extends Serializable { String getHeaderName(); String getParameterName(); String getToken(); } CsrfTokenRepository 就是一个csrfto
开发模式:前后端分离与前后端不分离
laoluobo76的博客
11-18 7855
目前主流的开发模式,就两种:前后端分离 和 前后端不分离 前后端不分离 在前后端不分离的应用模式中,前端页面看到的效果都是由后端控制,由后端渲染页面或重定向,也就是后端需要控制前端的展示,前端与后端的耦合度很高。 这种应用模式比较适合纯网页应用,但是当后端对接App时,App可能并不需要后端返回一个HTML网页,而仅仅是数据本身,所以后端原本返回网页的接口不再适用于前端App应用,为了对接App后端还需再开发一套接口。 请求的数据交互如下图: flask框架应用模板开发就是前后端不分离开发
Flask项目实战:前后端分离的租房项目
weixin_49088841的博客
11-21 994
前言:本次项目做的是一个前后端分离的项目 PRD: 1. 主页 1.1 最多5个房屋logo图片展示,点击可跳转至房屋详情页面 1.2 提供登陆/注册入口,登陆后显示用户名,点击可跳转至个人中心 1.3 用户可以选择城区、入住时间、离开时间等条件进行搜索 1.4 城区的区域信息需动态加载 2. 注册 2.1 用户账号默认为手机号 2.2 图片验证码正确后才能发送短信验证码 2.3 短信验证码每60秒可发送一次 2.4 每个条件出错时
树莓派下载安装flask-cors
最新发布
09-20
创建一个简单的 Flask 应用,并尝试从其他来源请求资源,查看是否允许跨域: ```python from flask import Flask, jsonify from flask_cors import CORS app = Flask(__name__) CORS(app) @app.route('/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值