CSRF

  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。

  • CSRF指×××者盗用了你的身份,以你的名义发送恶意请求。

    • 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......

  • 造成的问题:个人隐私泄露以及财产安全。

CSRF×××示意图

  • 客户端访问服务器时没有同服务器做安全验证



防止 CSRF ×××

步骤

  1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值

  2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token

  3. 在用户点击提交的时候,会带上这两个值向后台发起请求

  4. 后端接受到请求,以会以下几件事件:

  • 从 cookie中取出 csrf_token

  • 从 表单数据中取出来隐藏的 csrf_token 的值

  • 进行对比

如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作。

用户直接在网站 A 操作没有问题,再去网站B进行操作,发现转账不成功,因为网站 B 获取不到表单中的 csrf_token 的隐藏字段,而且浏览器有同源策略,网站B是获取不到网站A的 cookie 的,所以就解决了跨站请求伪造的问题


Flask中防止 CSRF ×××

app.secret_key = "#此处可以写随机字符串#"

  • 导入 flask_wtf.csrf 中的 CSRFProtect 类,进行初始化,并在初始化的时候关联 app

from flask.ext.wtf import CSRFProtect
CSRFProtect(app)