前言:本文是学习网易微专业的《python全栈工程师 - Flask高级建站》课程的笔记,欢迎学习交流。同时感谢老师们的精彩传授!
一、课程目标
- 什么是CSRF
- 表单的CSRF保护
- AJAX的CSRF保护
二、详情解读
2.1.CSRF跨站攻击
2.1.1.什么是跨站攻击
在会员管理中,要删除一个会员只要访问127.0.0.1:5000/admin/user/delete/1
,
有人会认为:这个链接你一定要登录才能访问,怎么会有安全性问题呢
攻击行为: 想办法给管理员发一条删除链接,比如在图片中放置这个链接
管理员如果在登录状态下点击此图片就会将员删除,攻击成功。
这种攻击行为称为:Cross-SiteRequestForgecy
- 跨站请求伪造,简称:CSRF
如果改成表单提交会不会避免这个问题?
问题同样存在,对于服务器来说,如同不能识别身份一样,也没能识别数据的来源。
B站一样可以提交登录数据完成登录,B站如果是一个伪站,那么用户就可能在不知情的情况下完成登录,从而帐号密码被盗。
所以表单也不是安全的,必须想办法在链接或者表单上做识别符号,就与用户的身份识别一样,给每个表单或者链接加上身份。通常用csrf-token
标识符来表示这个身份
2.2.表单的CSRF保护
2.2.1.CSRF保护
flask_wtf
提供了csrf
防范能力,默认创建一个包含csrf_token
值的隐藏域,
当使用form.validate_on_submit()
方法验证数据时,就会用session
中的值与csrf_token
的值进行比较,
如果两者不一致,那么就认为表单是伪造的,拒绝处理。
2.3.ajax的CSRF保护
Step1
:
from flask_wtf.csrf import CSRFProtect
Step2
:创建实例
csrf = CSRFProtect()
Step3
:app
实例参数配置:
csrf.init_app(app)
Step4
:在模版中使用{
{ csrf_token() }}
可以获得token
值
我们首先将通过链接删除修改为通过ajax
删除
1.请求方式修改为post
2.在ajax
中设置:
beforeSend: function(xhr) {
xhr.setRequestHeader("X-CSRFToken", {
{
csrf_toke