Flask实现CSRF保护

最新推荐文章于 2023-10-18 10:29:04 发布
最新推荐文章于 2023-10-18 10:29:04 发布
阅读量9.9k 收藏 17
点赞数 4
分类专栏: Flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rongDang/article/details/81076567
版权

  参考官方文档

 CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。

 例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安全。

 

 实现

为了能够让所有的视图受到CSRF保护,需要扩展 CsrfProtect模块

from flask_wtf.csrf import CsrfProtect

CsrfProtect(app)

 注意,需要为CSRF保护设置一个密钥,但通常情况下,和Flask应用的SECRET_KEY是一样的。

如果你设置的模板中存在表单,你只需要在表单中添加如下

<form method="post" action="/">
    {{ form.csrf_token }}
</form>

如果没有模板中没有表单,你仍然需要一个 CSRF 令牌:

<form method="post" action="/">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

如果网站没有通过CSRF验证,都会返回400响应,我们可以自定义这个错误响应:

from flask_wtf.csrf import CsrfProtect

csrf = CsrfProtect()


@csrf.error_handler
def csrf_error(reason):
    return render_template('csrf_error.html', reason=reason), 400

这里官方强烈建议对所有视图启用CSRF保护,也提供了给某些视图函数不需要保护的装饰器:

@csrf.exempt
@app.route('/foo', methods=('GET', 'POST'))
def my_handler():

(这里csrf是CsrfProtect()的一个拓展对象)

你也可以在所有的视图中禁用CSRF保护,app.config中通过设置 WTF_CSRF_CHECK_DEFAULT 为 False,仅仅当你需要的时候选择调用csrf.protect(). 这样能够让你在检查CSRF令牌前做一些预处理:

@app.before_request
def check_csrf():
    if not is_oauth(request):
        csrf.protect()

AJAX

不用表单,通过ajax发送post请求成为可能,flask 0.9后的版本可用。如果你使用了  CsrfProtect(app),你可以通过 {{ csrf_token() }} 获取 CSRF 令牌。这个方法在每个模板中都可以使用,你并不需要担心在没有表单时如何渲染 CSRF 令牌字段。

官方推荐在<meta>标签中渲染CSRF令牌:

<meta name="csrf-token" content="{{ csrf_token() }}">

在<script>标签中渲染同样可以:

<script type="text/javascript">
    var csrftoken = "{{ csrf_token() }}"
</script>

无论什么时候发送Ajax POST请求,都要添加X-CSRFToken请求头

 

实现案例

view.py中代码案例

from flask_wtf.csrf import CSRFProtect
CSRFProtect(app)


@app.route("/login", methods=["GET", "POST"])
def login():
    if request.method == "POST":
        # 获取传过来的数据, 这里不是用表单的方式提交,所以用的 request.values.get("key") ,
        # 如果是表单的方式提交数据的话,需要用request.form["key"] 或者 request.form.get("key")
        name = request.values.get("name")
        pwd = request.values.get("pwd")
        # models查询操作,到数据库中查找满足条件的数据,first()返回查询结果的第一条数据,实际是一个aa对象
        flag = aa.query.filter(aa.username == name, aa.password == pwd).first()
        print(flag)
        if flag != None:
            return make_response("{}")
        return make_response("")
    return render_template("login.html")

这里点击登录后,会到aa中去查找是否存在,然后返回不同的response,

login.html中的Ajax代码以及对应的表格,这里我没有使用表单

                var csrftoken = $("meta[name=csrf-token]").attr("content");
                if(flag){
                    //判断账号密码是否匹配
                    $.ajax({
                        url:"/login",
                        type:"POST",
                        dataType:"json",
                        data:{"name":username, "pwd":pwd,},
                        headers:{"X-CSRFToken":csrftoken},
                        success:function (data) {
                            if (data!=null && data!=""){
                                location.href="/index";
                            }else {
                                texta.innerText="账号或密码错误"
                            }
                        },
                        error:function (data) {
                            alert("+++"+data.msg);
                        }
                    });
                }
<table width="500px" border="1" cellspacing="0" cellpadding="0" align="center">
            <meta name="csrf-token" content="{{ csrf_token() }}">
            <tr height="50px">
                <th colspan="2" style="font-size: 30px;" >登录图书管理系统</th>
            </tr>
            <tr>
                <td style="background-color: cornflowerblue;">用户名:</td>
                <td>
                    <input id="username" type="text" name="username" value="">
                </td>
            </tr>
            <tr>
                <td style="background-color: cornflowerblue;">密码:</td>
                <td>
                    <input id="pwd" type="password" name="pwd" value="">
                </td>
            </tr>
            <tr>
                <td colspan="2" align="center">
                    <input type="button" value="登录" onclick="login()"/>
                </td>
            </tr>
            <tr>
                <td colspan="2">
                    <a id="a" style="color: red"></a>
                </td>
            </tr>
        </table>

使用ajax,则必须在其中添加  headers:{"X-CSRFToken":csrftoken},否则就会下图所示错误

会提示CSRF令牌缺失,

这里就是我关于flask中添加CSRF保护后,关于Ajax POST提交问题所遇到的问题,解决方法就是添加X-CSRFToken请求头

 

rongDang
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Django使用中间键实现csrf认证详解
01-01
Django中的csrf认证实现的原理 调用 process_view 方法 检查视图是否被 @csrf_exempt (免除csrf认证) – 去请求体或cookie中获取token 情况一(全站使用csrf认证,局部不想使用csrf认证) MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware
django的csrf实现过程详解
09-18
主要介绍了django的csrf实现过程相加,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Flask模拟实现CSRF攻击的方法
09-20
主要介绍了Flask模拟实现CSRF攻击的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Flask框架 CSRF 保护实现方法详解
09-18
主要介绍了Flask框架 CSRF 保护实现方法,结合实例形式详细分析了Flask-WTF针对CSRF攻击的防护相关操作技巧,需要的朋友可以参考下
Flask CSRF保护与cookie中的 csrf_token 和表单中的 csrf_token实现
xiaoming0018的博客
02-14 1729
Flask中请求体的请求开启CSRF保护可以按以下配置 from flask_wtf.csrf import CSRFProtect   app.config.from_object(Config)   CSRFProtect(app) #像任何其它的 Flask 扩展一样,你可以惰性加载它: from flask_wtf.csrf import CsrfProtect csrf = C...
学习FlaskCSRF
吴家健ken的博客
07-26 862
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目中说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 中引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
Flask中的csrf_token的设置
最新发布
qq_44906497的博客
10-18 164
【代码】Flask中的csrf_token的设置。
Flask框架——CSRF保护
HMMHMH的博客
10-12 509
目录CSRF攻击如何防御CSRF攻击Flask框架中的CSRF保护机制 CSRF攻击 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全。 攻击示意图: 如何防御CSRF攻击 在客户端...
flask中的csrf防御
zy_whynot的博客
03-25 709
flask中的csrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2、在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie中取出 csrf_token (2)从 表单数......
flask csrf保护的使用技巧
热门推荐
李余通的博客
10-16 1万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 ——百度百科 网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题,很好理解。flask 作为一个强带的web微框架,自然也是支持防范csrf攻击的。通过Flask-WT
Flask扩展库 | Flask-WTF学习
神是念着倒
11-24 1018
Flask-WTF是Flask与WTForms的简单集成,是Flask的一个扩展库,实现的功能如下: 集成了WTForms; 使用CSRF token保护表单(防止CSRF); 全球CSRF保护; 支持reCAPTCHA(验证码); 使用Flask-Uploads支持文件上传; 使用Flask-Babel提供国际化。 CSRF:Cross-Site Request Forgery简写,跨站请求...
flask设置和取消csrf
qq_39112101的博客
08-09 3229
flask-wtf模块携带csrf校验,使用的时候需要开启,csrf的引入和实例化如下 在flask当中,flask-wtf模块携带csrf校验的,需要开启。在项目的起始位置开启CSRFProtect,然后对整个app保护。 表单中设置csrf 前端使用csrf_token,属于teacher_form表单的可以独立使用,不受上面开启的影响 。 csrf的取消:@csrf...
flaskcsrf防护
he93007的博客
04-17 710
一.黑客的csrf攻击方式:    黑客构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。 如果近期用户登录过被攻击网站(假设未开启防护),cookie还没过期.    那么这个黑客的请求将会合法通过.---------本质是黑客利用用户的cookie数据.   二.防护方式与原理    防护方式----------设置token &gt;&gt;&g...
flask_wtf CSRFProtect机制
ypgsh的博客
01-09 1803
一,使用 实例化 from flask_wtf import CSRFProtect csrf = CSRFProtect() 初始化 from flask import Flask app = Flask(__name__) ... WTF_CSRF_SECRET_KEY=xxx #设置token 生成salt ... csrf.init_app(app)     csrf默认对[...
跨站请求伪造CSRF以及Flask中的解决办法
weixin_30535043的博客
07-03 167
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 ...
flask中使用CSRFProtect
python_tty的专栏
03-29 2717
csrf是跨站请求伪造攻击,它的原理是诱导用户浏览器访问已经认证过的网站,从而实现自己的攻击目的,危害性很大,所以我们在网站开发过程中要加入csrf保护。现在的web框架都提供了相应的csrf protect方法。 falsk中csrf protect使用: from flask_wtf.csrf import CSRFProtect csrf = CSRFProtect(app) ...
Flask-9 CSRF保护
xy_best_的博客
05-10 262
目录为什么需要 CSRF实现AJAX故障排除 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF实现 为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块: from flask_wtf.csr
Flask框架——Flask-WTF表单:数据验证、CSRF保护
霖hero
07-22 1056
为name添加自定义validata_%s,并传入输入值data#使用isdigit检验是否为数字开头,使用data[0]获取数据的首位raiseValidationError('用户名不能以数字开头')#若验证不通过则抛出异常这里我们为form.py表单类中的name添加自定义验证,所以自定义函数名为validate_name,如果我们为表单类中的password添加自定义验证时,自定义函数名为validate_password,也就是说自定义验证函数名要和表单类中字段名要对应。.........
关于错误:cannot import name ‘Flask‘ from ‘flask
qq_52634210的博客
04-11 4076
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
dvwa和bp实现csrf
08-22
DVWA和Burp Proxy (BP) 都可以用来实现CSRF攻击。DVWA是一个用于学习和测试网络安全漏洞的虚拟环境,其中包含了多种不同的漏洞,包括CSRF。在DVWA的1.medium和2.high级别中,分别使用了不同的防护措施,包括http_referer和token值。在CSRF攻击中,攻击者利用受害者的浏览器本地的cookie信息,发送恶意请求(修改参数)来实现攻击,比如修改密码或账号信息。而Burp Proxy (BP)是一款常用的网络安全测试工具,可以用于拦截和修改网络请求,包括用于测试CSRF漏洞的攻击请求。通过BP,攻击者可以捕获受害者的正常请求,然后构造一个恶意的CSRF Poc(Proof of Concept,即证明漏洞存在的代码),并发送给受害者,从而实现CSRF攻击。因此,DVWA和BP都可以被用来实现CSRF攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [DVWA-CSRF](https://blog.csdn.net/ahannn/article/details/122927445)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [DVWA-—【CSRF】漏洞利用](https://blog.csdn.net/qq_34914659/article/details/117020651)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值