Flask的csrf_token校验

最新推荐文章于 2024-03-31 19:02:11 发布
最新推荐文章于 2024-03-31 19:02:11 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: flask 文章标签: Flask的csrf_token校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42218868/article/details/98896503
版权
本文介绍了在Flask中如何使用flask-wtf模块进行csrf_token校验,以增强应用的安全性。主要内容包括在配置文件中启用CSRFProtect,视图中实例化forms类,前端如何使用csrf_token,处理非Flask自创form表单,以及在AJAX POST请求中应用csrf_token的方法。同时提到了如何为单个视图豁免csrf_token校验。
摘要由CSDN通过智能技术生成

在flask当中,flask-wtf模块时携带csrf校验的,只是需要开启;
如果不开启校验就不需要校验,但是那样不安全。
Csrf是针对与post请求的跨域限制,get请求没有作用
csrf_token的开启
1、首先在配置文件中开启CSRFProtect
在这里插入图片描述
2、视图中实例化forms类
在这里插入图片描述
3、前端使用csrf_token
在这里插入图片描述
4、非flask自创的form表单即前端的form表单使用csrf_token的方式
在这里插入图片描述
切记要在后面加括号
5、ajax的post请求中使用csrf_token
在这里插入图片描述
6、@csrf.exempt单个视图免除csrf_token校验
在这里插入图片描述

天主极乐大帝
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求
paul0926的博客
07-03 4705
Flask--CSRFToken保护什么是csrfcsrf具体过程csrf保护实现后端写保护表单提交添加保护自定义错误响应和关闭保护ajax提交 前文: 查看官方文档:http://www.pythondoc.com/flask-wtf/csrf.html#id4 什么是csrf 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包...
CSRF漏洞剖析
zmzsg100的专栏
12-04 863
CSRF的前世今生
Flaskcsrf_token的用法
Allen . Liu
09-23 2653
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 在flask中开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
Flask中的csrf_token的设置
qq_44906497的博客
10-18 227
【代码】Flask中的csrf_token的设置。
flask——CSRFToken保护
brook_的博客
07-07 2369
根据 csrf_token 校验原理,具体操作步骤有以下几步: 1.后端生成 csrf_token 的值,在前端请求登录或者注册界面的时候将值传给前端,传给前端的方式可能有以下两种: 在模板中的 From 表单中添加隐藏字段 将 csrf_token 使用 cookie 的方式传给前端 2.在前端发起请求时,在表单或者在请求头中带上指定的 csrf_toke...
flask项目之4:csrf验证与相关防护措施
LCY133的博客
12-15 257
CSRF验证:http://blog.csdn.net/wireless911/article/details/81589202 从cookie中获取csrf_token的值 从请求体中获取csrf_token的值 如果两者相同就可以继续进行,异常就不进行验证 同源策略: 同源的网站才可以操作资源, ...
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2453
本篇总结归纳CSRF漏洞
如何防止CSRF攻击?
ccyzq的博客
03-17 4322
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
谈谈Json格式下的CSRF攻击
Coisini的博客
06-27 4554
一、CSRF漏洞简介 csrf漏洞的成因就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf脚本或包含csrf脚本的链接,可能会执行一些用户不想做的功能(比如是添加账号等)。这个操作不是用户真正想要执行的。 在post标准化格式(accounts=test&password...
实战审计cms之CSRF——CSRF+Xss+Flash钓鱼
hackzkaq的博客
05-18 540
更多渗透技能 欢迎搜索公众号:白帽子左一 作者:掌控安全-holic 前言 CSRF感觉似乎很不值钱的样子,我前几天审计出了3个后台存储xss+csrf 然后cnvd跟我说不收csrf和后台存储xss,自此后台我从不找xss和csrf 但是毕竟作为目前毕竟出名流行的一个漏洞,还是讲解一下,我会讲的很简单,ojbk 0x01 CSRF介绍 CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造 CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操
Web框架——Flask系列之CSRFToken详解(四)
zep
05-30 401
CSRF(理解) 一. 什么是CSRFToken? CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全。 二.CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 三.防止CSRF攻击 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token
Flask CSRF 保护
咸鱼!!!
07-07 558
Flask CSRF 保护为什么需要 CSRF?实现 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所...
Flask实现CSRF保护
热门推荐
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
flask传送post参数和token
Shangri
08-29 6034
flask传送post参数和token server端代码 gen_token(uid): 使用base64 进行编码,存储在users中,添加在list列表”123456”字符串后面 vertify_token(token):将传进来的token进行base64的解码,解码后如果users.get(_token.split(‘:’)[0])[-1] == token获取users中的token
学习FlaskCSRF
吴家健ken的博客
07-26 893
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目中说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 中引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
flask中的csrf防御
zy_whynot的博客
03-25 745
flask中的csrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2、在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie中取出 csrf_token (2)从 表单数......
flask不使用FlaskForm如何在html模板中渲染csrf_token
weixin_43284441的博客
03-31 508
在你的HTML模板中,使用Flask的模板引擎来引用你在Python代码中创建的CSRFProtect对象,并生成一个隐藏的输入字段来存储CSRF token。:在你的Python代码中,处理从HTML模板接收到的CSRF token。:在Flask应用中,创建一个新的CSRFProtect对象,并将其初始化为Flask应用。如果你不想使用FlaskForm,你仍然可以在HTML模板中手动渲染CSRF token。注意,你需要确保CSRF token的值与你在HTML模板中生成的值相匹配。
Flask 项目中解决csrf攻击
yutu75的博客
11-22 830
首先装个库吧,命令如下: pip install flask_wtf 在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # 1. session加密的时候已经配置过了.如果没有在配置项中设置,则如下: app.secret_key = "#此处可以写随机字符串#" # 2. 也可以写在配置类中。 class Config(object): DE
Flask教程笔记-CSRF token保护验证
pyphrb的博客
07-21 8429
Flask教程笔记-CSRF token保护验证#! coding=utf8 from flask import Flask, render_template from flask_sqlalchemy import SQLAlchemy from flask_bootstrap import Bootstrap from flask_wtf.csrf import CsrfProtect #导入C
YII_CSRF_TOKEN
最新发布
04-05
在Yii框架中,YII_CSRF_TOKEN是用于防止跨站请求伪造(CSRF)攻击的令牌。CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的有效性,可以有效地防止CSRF攻击。 在Yii框架中,有两种方式可以获取YII_CSRF_TOKEN令牌: 1. 自动获取YII_CSRF_TOKEN令牌[^1]: 在主配置文件中进行简单的配置,启用Yii的CSRF验证功能。在components中的request配置中,将enableCsrfValidation设置为true。这样,在每个表单提交时,Yii框架会自动添加一个隐藏字段YII_CSRF_TOKEN,并验证该令牌的有效性。 2. 手动获取YII_CSRF_TOKEN令牌: 如果你自己编写的表单没有使用Yii的表单助手(Form Helper),你需要手动添加一个隐藏字段YII_CSRF_TOKEN。你可以使用Yii的getRequest()方法获取YII_CSRF_TOKEN的值,并将其作为隐藏字段的值。 下面是一个手动添加隐藏字段YII_CSRF_TOKEN的例子: ```php <input type="hidden" value="<?php echo Yii::app()->getRequest()->getCsrfToken(); ?>" name="YII_CSRF_TOKEN" /> ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值