flask提交表单验证不通过,以及CSRF攻击原理

最新推荐文章于 2023-11-13 19:34:33 发布
最新推荐文章于 2023-11-13 19:34:33 发布
阅读量452 收藏 1
点赞数
分类专栏: 《Flask Web 开发实战》学习笔 文章标签: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38747027/article/details/107734420
版权

学习表单的问题1.

提交表单时怎么都无法验证通过

记录一下,自己的学习bug,主要是因为在模板中书写渲染的语句时,把CSRF的字段名写错了。
因为在模板中书写一些语句是没有提示的,自己手动敲代码容易出现变量值错误。
原本我写的是这样的。

{{ form.crsf_token }}

正确的应该是

{{ form.csrf_token }}

flask-wtf的表单验证方法form.validate_on_submit() 会对进行CSRF验证,如果上面代码写错相当于没有进行渲染该字段,那么flask-wtf在验证表单签名时就会一直不通过。

简介

CSRF(Cross Site Request Forgery,跨站请求伪造)是一种近年来才逐渐被大众了解的网络攻击方式,又被称为One-Click Attack或Session Riding。在OWASP上一次(2013)的TOP 10 Web程序安全风险中,它位列第8。随着大部分程序的完善,各种框架都内置了对CSRF保护的支持,但目前仍有5%的程序受到威胁。

(1)攻击原理

CSRF攻击的大致方式如下:某用户登录了A网站,认证信息保存在cookie中。当用户访问攻击者创建的B网站时,攻击者通过在B网站发送一个伪造的请求提交到A网站服务器上,让A网站服务器误以为请求来自于自己的网站,于是执行相应的操作,该用户的信息便遭到了篡改。总结起来就是,攻击者利用用户在浏览器中保存的认证信息,向对应的站点发送伪造请求。在前面学习cookie时,我们介绍过用户认证通过保存在cookie中的数据实现。在发送请求时,只要浏览器中保存了对应的cookie,服务器端就会认为用户已经处于登录状态,而攻击者正是利用了这一机制。

luckyforefforts
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
laravel框架中表单请求类型和CSRF防护实例分析
12-20
本文实例讲述了laravel框架中表单请求类型和CSRF防护。分享给大家供大家参考,具体如下: laravel中为我们提供了绑定不同http请求类型的函数。 Route::get('/test', function () {}); Route::post('/test', ...
csrf token作用
热门推荐
neu_xiaolu的博客
06-05 1万+
作用: 是防御CSRF攻击。 如何生成? 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。 应用: 表单中:添加隐藏字段csrf_token,来启用csrftoken验证 <form action="/add-...
提交form表单时获取到select下拉框的value
weixin_30475039的博客
01-04 2714
最近在写一个修改个人信息的jsp页面时,遇到了一个问题:   设置一个select下拉选项框的属性disabled="disabled",在提交form表单时,获取到该select的value。   开始我还以为是参数名的问题,最后改了确认了两边的参数名是相同的,不是参数名的问题。   在网上搜了下这个问题,有了一个解决方法,就是在提交表单参数之前用JQuery移除select...
HttpClient 调用远程服务,POST 请求 ,x-csrf-token验证失败,报CSRF token validation failed 问题解决
yinyulong123的博客
04-17 1万+
首先通过 HttpGet 来获取x-csrf-token,代码如下:HttpGet httpget = new HttpGet(url); httpget.setHeader("Content-Type", "application/x-www-form-urlencoded;charset=UTF-8"); httpget.setHeader("Authorization", code); ht...
Flask web开发实战之基础篇 Flask-表单
weixin_39451323的博客
03-25 6188
基础篇 第四章 Flask表单前言4. Flask 表单4.2 使用Flask-WTF处理表单4.2.1 定义WTForms表单类4.2.2 输出HTML代码4.2.3 在模板中渲染表单4.3 处理表单数据 前言 这一切开始于2010年4月1日,Armin Ronacher在网上发布了一篇关于“下一代Python微框架”的介绍文章,文章里称这个Denied框架不依赖Python标准库,只需要复制一份deny.py放到你的项目文件夹就可以开始编程。伴随着一本正经的介绍、名人推荐语、示例代码和演示视频,这
python_django_禁止访问 _CSRF验证失败. 请求被中断_更多信息请设置选项DEBUG=True。
jss19940414的博客
03-07 1万+
问题描述: 访问一个url时,回有一个注册页面的响应,输入对应的信息后,单击注册按钮进行提交进行页面跳转,显示禁止访问 _CSRF验证失败. 请求被中断_更多信息请设置选项DEBUG=True。 解决方案: 将settings.py文件的MIDDLEWARE中的csrf设置注掉后,再次运行,问题解决。 、 备注:这样虽然能进行访问,但是不安全, 允许跨站进行请求,详情请阅读 h...
Flask-Form表单的使用及其csrf_token的开启使用(六)
z_ipython的博客
08-08 3204
Django 当中有form类,这个类给开发者提供了相当丰富的校验方式。 Flask和django同样推出了form类的插件,flask-wtf 一、flask form表单的安装和简单字段属性的应用 1、安装flask form插件 pip install flask-wtf 2、flask项目主目录下创建forms.py文件 3、表单常用的字段 字段 说明 String...
基于form表单和ajax提交数据,csrftoken验证
最新发布
m0_73399600的博客
11-13 653
pass。
django中写form表单时csrf_token的作用
up1012的博客
07-13 9115
    之前在学习django的时候,在template中写form时,出现错误。百度,google后要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 前段时间看了 《web前端黑客技术解密》一书,最近又看见了csrf_token,研究了下,下面是自己的理解。目的:    csrf_token 是为了防止csrf(跨站请求伪造),什么是cs...
Flask CSRF的保护与cookie中的 csrf_token 和表单中的 csrf_token实现
xiaoming0018的博客
02-14 1740
Flask中请求体的请求开启CSRF保护可以按以下配置 from flask_wtf.csrf import CSRFProtect   app.config.from_object(Config)   CSRFProtect(app) #像任何其它的 Flask 扩展一样,你可以惰性加载它: from flask_wtf.csrf import CsrfProtect csrf = C...
Web后端学习笔记 Flask(10)CSRF攻击原理
开到荼蘼的博客
04-19 554
CSRF(Cross Site Request Forgery,跨站域请求伪造)是一种网络的攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 CSRF攻击原理: 网站是通过cookie实现登录功能的,而cookie只要存在浏览器中,那么浏览器在访问这个cookie所对应的网站的时候,就会自动的携带cookie信息到服务器上去。那么这时候就存在一个漏洞,如果你访问了一个病毒网站,那么...
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
PHP实现登陆表单提交CSRF验证
12-19
1、表单提交,并将其提交到本页 (1) form 属性method为post方法,修改路由,使其接收post、get的请求 Route::any('/admin/login','Admin\LoginController@login'); (2)LoginController.php 修改login方法,根据不同...
EasyUI在表单提交之前进行验证的实例代码
09-02
主要介绍了EasyUI在表单提交之前进行验证的实例代码的相关资料,非常不错,具有参考借鉴价,需要的朋友可以参考下
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
html 表单验证 flask,WTF表单(Flask) – FormField – FieldList,验证不起作用
weixin_33767088的博客
06-19 314
我试图使用WTF字段,FormField,FieldList创建一个ListItem表单:forms.pyclass WarehouseTicketItemForm(Form):description = StringField(u'Description', validators=[Required()])quantity = IntegerField(u'Quantity', validato...
Flaskcsrf_token的用法
Allen . Liu
09-23 2581
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 在flask中开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
form表单post提交参数 携带token_Django的CSRF_TOKEN携带方式
weixin_42118056的博客
01-16 4292
Ⅰ html页面直接提交解除中间件注释无csrf_token数据的post请求在html页面form表单中直接添加{% csrf_token%}会在html中生成随机字符串,上图添加的位置是不正确的浏览器在进行post请求时会自动携带到服务器,服务以此判断访问用户是否合法注意:每个存在form表单都需要添加,否则就是403Ⅱ ajax提交方式一:放到data中 -- 提交的时候在前端现取使用aj...
Flask 表单form.validate_on_submit()总是false的解决方法
six66667的博客
01-05 8676
今天用Flask 表单,form.validate_on_submit()总是false,总算改对了,总结一下看到的解决方法 表单的地方没写{{ form.csrf_token }} 在HTML <form></form>里加上就好 <form class="layui-form" method="post"> {{ form.csrf_toke...
表单CSRF攻击验证
08-29
这样,当用户提交表单时,后端会验证表单中的csrf_token与cookie中的csrf_token是否匹配,如果不匹配,则认为可能存在CSRF攻击,并拒绝该请求。通过这种验证方式,可以有效地防止CSRF攻击。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值