Flask-状态保持-CSRF

最新推荐文章于 2024-07-15 15:37:59 发布
最新推荐文章于 2024-07-15 15:37:59 发布
阅读量61 收藏
点赞数
文章标签: python 后端
原文链接:http://www.cnblogs.com/alicelai1319/p/10274472.html
版权

问题:cookies基于浏览器的同源策略,不同域名的cookie不能相互访问,为什么可以进行跨站请求伪造呢?

原因:cookie基于浏览器的同源策略,确实是在实现状态保持的时候,不能跨域访问。

跨站请求的伪造过程:是其他网站伪造访问原网站的请求,导致的一系列信息泄露。

具体伪造过程:

 如何防止CSRF的过程呢,还是需要通过一系列双向验证来保证:

在用户请求服务器的时候,服务器向cookie中写入csrf_token,浏览器的form表单中也会写入csrf_token,在浏览器进行下一次请求的时候,服务端会取到这两个token进行比对,一致就能验证是用户自己访问,不一致,就会存在伪造风险。

  1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
  2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token
  3. 在用户点击提交的时候,会带上这两个值向后台发起请求
  4. 后端接受到请求,以会以下几件事件:
    • 从 cookie中取出 csrf_token
    • 从 表单数据中取出来隐藏的 csrf_token 的值
    • 进行对比
  5. 如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

 

转载于:https://www.cnblogs.com/alicelai1319/p/10274472.html

weixin_30455023
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Flask-CSRF
qq_29286967的博客
07-08 222
CSRFCSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题:个人隐私泄露以及财产安全。CSRF攻击示意图客户端访问服务器时没有同服务器做安全验证防止 CSRF 攻击步骤在客户端向后端请求界面数据的时候,后端会往响...
flask-login-example:Flask-Login扩展示例
05-03
Flask-Login是Flask的一个扩展,主要用于处理用户登录状态,它使得在Flask应用中实现用户身份验证变得简单。在这个名为"flask-login-example"的示例中,我们将深入探讨如何使用Flask-Login来管理用户会话,包括...
flask中的状态保持
weixin_43733896的博客
11-25 162
什么是状态保持 定义记录用户访问状态一种机制。例如:用户是否登陆过,用户的搜索记录 因为 http 是一种无状态协议,浏览器请求服务器是无状态的。 无状态:指一次用户请求时,浏览器、服务器无法知道之前这个用户做过什么,每次请求都是一次新的请求。 无状态原因:浏览器与服务器是使用socket 套接字进行通信的,服务器将请求结果返回给浏览器之后,会关闭当前的 socket连接,而且服务器也会在处理页...
Flask框架——Flask-Mail邮件
霖hero
07-26 1873
上篇文章我们学习了,这篇文章我们学习Flask框架——Flask-Mail邮件。Web应用程序经常需要向用户、客户端、管理员、运维人员等相关人员发送邮件。在Flask框架中提供了Flask-Mail邮件库来管理电子邮件的收发。......
flask-socketio:部署
Esun Blog
03-20 5541
部署 部署 Flask-SocketIO 服务器有很多选择,从简单到极其复杂。在本节中,描述了最常用的选项。 嵌入式服务器 socketio.run(app)最简单的部署策略是通过调用如上例所示来启动 Web 服务器 。这将查看为最佳可用 Web 服务器安装的软件包,在其上启动应用程序。当前评估的 Web 服务器选择是eventlet,gevent和 Flask 开发服务器。 如果 eventlet 或 gevent 可用,则socketio.run(app)使用这些框架之一启动生产就绪服务器。.
Flask-0.11.1.tar.gz
02-06
8. **扩展性**:Flask有丰富的扩展生态系统,例如Flask-SQLAlchemy用于数据库操作,Flask-WTF用于表单处理,Flask-Login处理用户登录状态等。 解压“Flask-0.11.1.tar.gz”后,你可以看到源代码文件结构,主要包括`...
Flask-2.1.2.tar.gz
02-06
7. **安全特性**:Flask提供了诸如CSRF(跨站请求伪造)防护、session管理等安全特性,帮助开发者构建安全的Web应用。在2.1.2版本中,这些安全措施可能会得到增强,以应对最新的威胁。 8. **开发工具**:Flask提供...
flask--master_flask_
10-03
1. **WTF-Forms**: Flask-WTF是Flask的一个扩展,它提供了方便的表单处理功能,支持CSRF保护,以及与各种数据库的集成。 2. **Jinja2模板引擎**: Flask默认使用Jinja2作为模板引擎,用于生成动态HTML页面。Jinja2...
Flask-API
03-05
5. **安全考虑**:考虑认证、授权、防止跨站请求伪造(CSRF)等安全问题。 通过熟练掌握 Flask-API,开发者可以构建出优雅、易用且具有高度可扩展性的 RESTful API,为各种应用场景提供强大支持,如移动应用、Web ...
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
weixin_42333261的博客
07-12 276
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
Nginx七层(应用层)反向代理:UWSGI代理uwsgi_pass篇
jclee95的个人博客
07-10 1125
Nginx提供了多种应用层反向代理支持,包括proxy_pass、uwsgi_pass、fastcgi_pass和scgi_pass等。其中,proxy_pass指令可以接受一个URL参数,用于实现对HTTP/HTTPS协议的反向代理;uwsgi_pass用于代理到uWSGI应用服务器;fastcgi_pass用于代理到FastCGI服务器;而scgi_pass则用于代理到SCGI(Simple Common Gateway Interface)应用。这些指令使Nginx能够灵活地处理不同类型的后端服务和应
java集合工具类
药的博客
07-12 486
【代码】java集合工具类。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 906
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
CV06_Canny边缘检测算法和python实现
https://github.com/foxpup11?tab=repositories
07-11 869
https://www.bilibili.com/video/BV1qU4y1U7aK/?spm_id_from=333.337.search-card.all.click&vd_source=7dace3632125a1ef7fd32c285eb2fbac
MySQL空间索引
你的指尖有改变世界的力量
07-10 298
空间类型是建立在空间类型字段上的。
一键安装ros及出现问题的解决方案
m0_58173801的博客
07-10 592
catkin_make时出现报错如下。
httpx 的使用
最新发布
qq_39217312的博客
07-15 505
httpx 是一个可以支持 HTTP/2.0 的库还有一个是: hyper 库这里有一个由HTTP/2.0的网站: https://spa16.scrape.center/使用 requests 库 进行爬取 报错:安装: httpx pip3 install httpx 这样安装并不能支持 HTTP/2.0如果想要支持,需要这样安装:pip3 install httpx[http2]输出:这里访问的HTTP/1.0的网站,并且依次打印除了 , 响应状态码(status_code),响应头信息(header
Gradio从入门到精通(1)---快速入门
疯狂飙车的蜗牛的博客
07-15 687
Gradio 是一个开源 Python 包,允许您为机器学习模型、API 或任何任意 Python 函数快速构建演示或 Web 应用程序。然后,您可以使用 Gradio 的内置共享功能在几秒钟内共享指向演示或 Web 应用程序的链接。无需 JavaScript、CSS 或 Web 托管经验!Gradio最大的特点就是简单,便捷,短短几行代码就可以快速构建大模型web应用程序;当前很多人工智能模型的演示都是使用Gradio打造的;您会注意到,为了制作第一个演示,您创建了该类的实例。
Flask-Login Flask-Security 登录与权限控制
06-06
Flask-Login和Flask-Security都是Flask框架中常用的用于用户登录和权限控制的扩展库。 Flask-Login可以帮助开发者方便地实现用户登录功能,包括用户会话管理、认证和登录验证等。Flask-Login的主要功能是提供一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值