模板语言,在函数中用render_template传到模板中,可以用变量和函数取一些值
请求上下文: request 和 session
应用上下文: 只有 g变量
还有: config 和 url_for(可以作link) <a href="{{ url_for('index') }}">回到首页</a>
消息闪现: get_flasked_massage()
8.Flask-WTF表单
WTF中有验证函数帮助验证 , 而且框架集成CSRF帮助实现 跨域请求伪装 安全
CSRF 跨域请求伪装
攻击者(服务器B) 使用 用户浏览器 发送带有cookie的非法操作 发送到服务器A
攻击者可以写一个钓鱼按钮,而按钮中带有隐藏内容,小白用户是看不到的,小白点击之后,隐藏内容向
服务器A发送固定的转账请求等,主要看服务器B的网页源码
防止csrf:
对csrf设置,flask框架集成了csrf验证,而cookie在浏览器发送的时候,也能自带csrf的密匙
csrf密令是随时动态变化的,在前端设置csrf_token,这样在请求发送过来的时候,我们后端验证csrf密令和cookie中的密令
是否相同,相同就能确认是同一个人发出的请求
而钓鱼网址只能通过用户浏览器发送给服务器A,cookie的内容,但是cookie有同源策略,服务器B不能获得具体的值
所以攻击者不能在隐藏中带上密令值
flask框架集成验证,只要我们在前端设置csrf_token就行
10.攻击者网页内容 用户点击领取按钮,提交地址是转账页面,而且cookie也被带过去了
<form method="post" action="http://127.0.0.1:9000/transfer">
<input type="hidden" name="to_account" value="999999">
<input type="hidden" name="money" value="190000" hidden>
<input type="submit" value="点击领取优惠券">
</form>
10-1.WTF表单设置csrf : 前端csrf_token
10-2.如果是Flask项目中, 没涉及到表单
设置应用程序的 secret_key app.secret_key = "#此处可以写随机字符串#" (集成在session中)
用于加密生成的 csrf_token 的值
前端添加 {{ csrf_token() }}
10-3.单独使用
服务器 app.secret_key = "#此处可以写随机字符串#"
from flask.ext.wtf import CSRFProtect
CSRFProtect(app)
前端 {{ form.csrf_token() }} 或者 {{ csrf_token() }}