html表单缺乏csrf防护,表单验证因缺少CSRF而失败

最新推荐文章于 2024-05-04 08:00:00 发布
最新推荐文章于 2024-05-04 08:00:00 发布
阅读量990 收藏
点赞数 1
文章标签: html表单缺乏csrf防护

我重置了本地flask环境,但是没有通过捕获它的依赖项,pip freeze然后再将其删除。因此,我不得不重新安装整个堆栈的最新版本。

现在,我突然无法使用表单进行验证了。Flask声称CSRF将丢失。

def register():

form = RegisterForm()

if form.validate_on_submit():

...

return make_response("register.html", form=form, error=form.errors)

第一次发送Get邮件时,我form.errors按预期检索了一个空邮件。现在,我填写表格并提交并form.errors显示:{'csrf_token': [u'CSRF token missing']}

真奇怪 我想知道Flask-WTF是否已更改,并且使用错误。

我可以清楚地看到form.CSRF_token存在,那么为什么声称它不存在呢?

CSRFTokenField:

我从没有接触过工作模板,但是仍然将其张贴在这里:

{% from "_formhelpers.html" import render_field %}

{% extends "base.html" %}

{% block body %}

Register

{% if error %}

Error: {{ error }}{% endif %}

{{form.hidden_tag()}}

{{ render_field(form.name) }}

{{ render_field(form.email) }}

{{ render_field(form.password) }}

{{ render_field(form.confirm) }}

{% endblock %}

这是一个新错误吗?

更新:

我已经重新安装了一切,问题仍然存在。

正如Martijn建议的那样,我正在调试以下方法flask_wtf:

def validate_csrf_token(self, field):

if not self.csrf_enabled:

return True

if hasattr(request, 'csrf_valid') and request.csrf_valid:

# this is validated by CsrfProtect

return True

if not validate_csrf(field.data, self.SECRET_KEY, self.TIME_LIMIT):

raise ValidationError(field.gettext('CSRF token missing'))

最后一个条件是引发验证错误。

field.data = "1391296243.8##1b02e325eb0cd0c15436d0384f981f06c06147ec"

self.SECRET_KEY = None (? Is this the problem)

self.TIME_LIMIT = 3600

你是对的,HMAC比较失败。…两个值每次都不同。

return hmac_compare == hmac_csrf

我在配置中同时定义了SECRET_KEY和CSRF_SESSION_KEY。

weixin_39826089
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp html表单没有csrf保护,ASP.NET MVC 和网页中的 XSRF/CSRF 防护
weixin_31849853的博客
06-28 462
ASP.NET MVC 和网页中的 XSRF/CSRF 防护03/14/2013本文内容跨站点请求伪造(也称为 XSRF 或 CSRF)是一种针对 Web 托管型应用程序的攻击,恶意网站凭此可以影响客户端浏览器与受该浏览器信任的网站之间的交互。 这些攻击出现的原因可能是 Web 浏览器针对每一个对网站的请求自动发送身份验证令牌。 典型示例是身份验证 cookie,如 ASP.NET 的表单身份验证...
HTML form without CSRF protection,HTML表单没有CSRF保护
收集盒 Book box
07-18 6813
HTML form without CSRF protection =HTML表单没有CSRF保护  CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台
web 扫描漏洞:HTML form without CSRF protection 问题解决
最新发布
dazhong2012的专栏
05-04 677
一.扫描工具:acunetix 二.问题描述 该漏洞主要是利用用户登录网站中的session 或 cookie 信息,采用诱导链接,获取用户浏览器中的相关session 或 cookie ,发送恶意请求或重复攻击; 三.解决方法 1.在提交浏览器表单信息时,增加 token 或 随机数 参数,并将 参数 写入到 session 信息;后台校验时,通过 对比 表单参数和 session 中的参数的一致性,判断表单提交是否是来源于页面的正常请求。 jsp 页面代码如下: <%@ page language
HTML表单没有CSRF保护漏洞
煜铭2011
06-20 1万+
0x00 背景 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 恶意攻击者可以利用漏洞攻击做到:攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。 0x01 修复思路 CSRF的防御可以从服务端和客户端两方面着手,防御
laravel框架中表单请求类型和CSRF防护实例分析
12-20
Laravel默认启用CSRF(跨站请求伪造)防护,它通过验证请求中的CSRF令牌来防止恶意第三方提交表单。每个表单需要包含一个名为`_token`的隐藏字段,其值由`csrf_token()`函数生成: ```html ('test') }}" method=...
Shiro开启CSRF表单防护
12-08
Shiro 开启 CSRF 表单防护 CSRF(Cross-Site Request Forgery,跨站点请求伪造)是一种常见的 web 攻击方式...总结:Shiro 开启 CSRF 表单防护可以有效地防御 CSRF 攻击,通过验证 Referer 字段来检查请求的合法性。
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
09-18
然而,在使用Ajax进行异步请求时,由于Ajax本身无法处理CSRF令牌,这就导致了常见的403错误——CSRF验证失败。 为了解决Django中Ajax发送POST请求时遇到的CSRF验证失败问题,可以采取以下几种方案: 1. 在HTML模板...
关于django 1.10 CSRF验证失败的解决方法
01-01
不是取消了就是参数没有了,网上搜到的帖子也没说明用的是什么版本的django,所以经常出现搬运过来的代码解决不了问题的情况,不过基本上遇到的坑不多,最坑的就是在提交post表单时弄了两天的CSRF验证失败问题,特此...
Django csrf 验证问题的实现
12-23
关于 csrf 的基本了解 百度百科:CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任...Django 提供的 CSRF 防护机制 djan
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
详解HTML5中表单验证的8种方法介绍
01-19
就其核心而言,表单验证是一套系统,它为终端用户检测无效的控件数据并标记这些错误。换言之,表单验证就是在表单提交服务器前对其进行一系列的检查并通知用户纠正错误。 但是真正的表单验证是什么? 是一种优化。 ...
spring security CSRF防护的示例代码
08-26
Spring Security CSRF 防护机制详解 CSRF(Cross-site request forgery),即跨站请求伪造,是一种常见的 Web 攻击。Spring Security 4.0 及更高版本默认启用 CSRF 防护,以防止 CSRF 攻击应用程序。下面是 Spring ...
django框架CSRF防护原理与用法分析
09-19
Django框架内置的CSRF防护机制是一个强大而灵活的工具,能够帮助开发者有效地抵御此类攻击。在开发过程中,建议始终启用这些安全特性,并定期审查安全实践,以确保应用程序免受最新的安全威胁。
PHP实现登陆表单提交CSRF及验证码
12-19
1、表单提交,并将其提交到本页 (1) form 属性method为post方法,修改路由,使其接收post、get的请求 Route::any('/admin/login','Admin\LoginController@login'); (2)LoginController.php 修改login方法,根据不同...
asp html表单没有csrf保护,CSRF在ASP.NET Core中的处理方法详解
weixin_39857792的博客
06-28 469
前言前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下。在梳理之前,还需要简单了解一下背景知识。AntiForgeryToken 可以说是处理/预防CSRF的一种处理方案。那么什么是CSRF呢?CSRF(Cross-site request forgery)是跨站请求伪造,也被称为One Click Attack或者Sessi...
html表单没有csrf保护,如何在Symfony 1.4中为表单禁用CSRF保护/验证
weixin_36411269的博客
06-19 227
csrf令牌可为你的表单提供保护, 使其免受跨站请求伪造(CSRF)的攻击, 该攻击迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。在某些项目中, 由于缺少在视图中定义同一实体的多种形式的symfony, 你最终将使用HTML手动设计表单(这意味着视图上未呈现任何sfForm实例, 并且没有CSRF保护已启用), 但是使用symfony的默认绑定器存储来自数组的信息, 例如:/...
【记录】没有CSRF保护的HTML表单 漏洞解决办法
热门推荐
Damionew的博客
02-28 1万+
解决方法:Cookies Hashing:每一个表单请求中都加入随机的Cookie,由于网站中存在XSS漏洞而被偷窃的危险。 在Jsp文件头引入 &lt;%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%&gt; 在登录的jsp中添加 &lt;% //增加随机数,解决 ...
html表单没的csrf保护,表单csrf保护
weixin_30047651的博客
06-19 884
## 表单提交和CSRF在本课程中,我们将介绍将表单数据提交到服务器的基本工作流程。在此过程中,我们将介绍一个新概念:`CSRF`(跨站点请求伪造)。### 新手建议前面几节我们介绍了如何从数据库中获取数据,使用 `Tinker` 添加测试数据。接下来我们在页面中实现添加数据并展示。> 不论做任何复杂的功能,都是从简单开始,慢慢迭代,这里给新手一个建议,不论做什么都先按照 `路由->控...
表单CSRF攻击验证
08-29
表单CSRF攻击验证是为了防止CSRF攻击而采取的一种措施。在客户端向后端请求界面数据时,后端会往响应中的cookie中设置csrf_token的值,并在表单中添加一个隐藏的字段,值也是csrf_token。这样,当用户提交表单时,后端会验证表单中的csrf_token与cookie中的csrf_token是否匹配,如果不匹配,则认为可能存在CSRF攻击,并拒绝该请求。通过这种验证方式,可以有效地防止CSRF攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Flask模拟实现CSRF攻击的方法](https://download.csdn.net/download/weixin_38557727/13768777)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [2021-03-31](https://blog.csdn.net/m0_55876880/article/details/115344657)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [html表单csrf攻击的解决方案](https://blog.csdn.net/sunchanglan151/article/details/125516455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值