使用flask_wtf 的 csrf时的bug问题

最新推荐文章于 2024-04-17 14:58:09 发布
最新推荐文章于 2024-04-17 14:58:09 发布
阅读量2.9k 收藏 1
点赞数 1
分类专栏: flask框架 文章标签: flask csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43778491/article/details/88366141
版权

之前接收一个老项目,版本迭代的时候,发现了一个问题,用户在登出的时候,再次登录时,报400错误,

The CSRF session token is migging.

查了查代码,才发现问题。
这个flask项目是用flask_wtf的csrf 创建的csrf_token的时候,

#创建一个csrf_token值
    csrf_token=csrf.generate_csrf()

自动会在session中存放一个值,项目的session存放在redis中,则redis中存在该值。
在cookie中,前开发工程师也把csrf_token存放了一份在cookie中,

# 设置cookie值
    resp.set_cookie("csrf_token", csrf_token)

在项目中使用flask_wtf的CSRFProtect(app)进行保护的时候,实则是从session中读取csrf_token值,与前端请求数据中的headers中传过来的csrf_token进行比较。
当登出清除session时,csrf_token值也一起删除了,而浏览器再次加载页面时,由于浏览器缓存机制,是通过浏览器的缓存访问页面,并未经过后台,所以不会再生成csrf_token,也不会存放在redis的session中,导致csrf机制报错.
当然,清空缓存,刷新后,则可以再次登录,但这不是个解决办法。
在不破坏原有代码体系上,即 依旧使用flask_wtf的csrf机制,
可以在清空session前,获取csrf_token的值,清空后再加上。

csrf_token=session.get('csrf_token')
session.clear()
session['csrf_token']=csrf_token
寒风未停
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flask教程笔记-CSRF token保护验证
pyphrb的博客
07-21 8410
Flask教程笔记-CSRF token保护验证#! coding=utf8 from flask import Flask, render_template from flask_sqlalchemy import SQLAlchemy from flask_bootstrap import Bootstrap from flask_wtf.csrf import CsrfProtect #导入C
dynamic_select_flask_wtf_javascript
05-12
在本项目"dynamic_select_flask_wtf_javascript"中,我们探索了如何使用Python的Flask框架、Flask-WTF扩展以及JavaScript来构建一个交互式的动态选择字段。这个功能常见于许多Web应用中,比如根据用户在一个下拉框中...
微信小程序 + flask: post请求报错400(bad request) csrf token is missing
qq_25207909的博客
09-30 2885
微信小程序 + flask: post请求报错400(bad request) csrf token is missing 微信端: flask 端: 报错: 解决:(所有的视图中禁用CSRF保护,app.config中通过设置 WTF_CSRF_CHECK_DEFAULT 为 False) ...
使用 Flask-WTF 防止跨站请求攻击(CSRF):一份全面指南
PythonWeb实践
04-17 988
通过以上步骤,我们已经成功地在 Flask 应用中实现了 Flask-WTFCSRF 保护功能。这将确保我们的应用在处理表单数据具有更高的安全性。使用 Flask-WTF 防止跨站请求攻击(CSRF):一份全面指南。
flask: The CSRF token is missing.
热门推荐
正心全栈编程
09-17 1万+
今天在做表单验证,结果出现了上面这个问题。以前我弄都没有问题,为什么今天会出现这个问题?难道要关机重启??? 于是我便开始断点调试,结果发现在 if form.validate() 判断出现了问题,然后便跳进去查看,结果发现在验证多出了一个参数 { "csrf_token": [ "The CSRF token is missing." ] } 然后...
Flask 项目中form表单出现CSRF missing and The CSRF token is invalid.
qq_40261822的博客
10-17 2315
首先,flask项目中,已经开启csrf的保护 from  flask.ext.wtf import  CSRFProtect CSRFProtect(app) 只需在表单中加入 csrf_token() 直接调用,系统会帮你自动生成 csrf_token的值 <form class="news_filter_form" method="post" >             ...
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 287
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
Flask-WTF表单的使用方法
09-19
主要介绍了Flask-WTF表单的使用方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
fileserver:一个简单的文件服务器取决于flask flask_wtf flask_bootstrap
05-23
文件服务器非常简单,您可以在任何地方使用它文件位于您打开服务的路径下使用前,请记住使用pip install flask flask-wtf flask-bootstrap 确保您已经下载了dependecs
flask_websockets:使用flask的Websockets教程代码
05-02
from flask_socketio import SocketIO, emit app = Flask(__name__) app.config['SECRET_KEY'] = 'secret!' socketio = SocketIO(app) ``` **设置WebSocket路由** 在Flask应用中,我们可以使用`@socketio.on`装饰...
douban_flask_pythonflask豆瓣_python_
10-02
标题 "douban_flask_pythonflask豆瓣_python_" 暗示了这是一个使用 Python 的 Flask 框架来实现的项目,目标是爬取并处理豆瓣电影Top250的数据。Flask是一个轻量级的Web服务程序,适合用于构建小型到中型的Web应用。...
Flask框架——Flask-WTF表单:数据验证、CSRF保护
霖hero
07-22 1129
为name添加自定义validata_%s,并传入输入值data#使用isdigit检验是否为数字开头,使用data[0]获取数据的首位raiseValidationError('用户名不能以数字开头')#若验证不通过则抛出异常这里我们为form.py表单类中的name添加自定义验证,所以自定义函数名为validate_name,如果我们为表单类中的password添加自定义验证,自定义函数名为validate_password,也就是说自定义验证函数名要和表单类中字段名要对应。.........
Flask实现CSRF保护
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
学习FlaskCSRF
吴家健ken的博客
07-26 883
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目中说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 中引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
flask 解决csrf_token无法识别、没有定义
yuxuan89814的专栏
05-28 809
最近在合并两个项目代码,两个项目技术栈是差不多的。后端python +flask,前端是flask template 但是在合并过程中,遇到csrf_token没有定义的错误 <meta id="csrf-token" content="{{ csrf_token() }}"> 原来是在入口文件中,项目中是app目录下__init__.py文件中,没有引入实例化CSRFProtect from flask_wtf.csrf import CSRFProtect csrf = CSRF
初窥CSRF攻击方式以及Flask-WTF
楼上小宇_home
10-28 302
含义 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 解释 这幅图非常形象的解释了CSRF原理的具体过程。 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤: 登录受信任网站A,并在本地生成Cookie。 在不登出A的情况下,访问危险...
flask csrf保护的使用技巧
李余通的博客
10-16 1万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 ——百度百科 网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题,很好理解。flask 作为一个强带的web微框架,自然也是支持防范csrf攻击的。通过Flask-WT
Ajax post error (400 Bad Request)
JUDGE_MENT的专栏
01-22 719
最近使用Flask,用Ajax向后端发请求,Get没有错误,但是Post的话无法跑通,提示400 Bad Request,使用Postman之后,提示The CSRF token is missing. 说明是CSRF问题,阻止了Request,我开始以为自带的Flask没有开启CSRF,后来想起我是Cookiecutter部署的Flask,已经默认开启了CSRF。 因此,解决办法就是: 在header中增加: <meta name="csrf-token" content="{{ csrf_
一次父类继承导致的bugflask: The CSRF token is missing.
a200822146085的博客
11-26 1243
一、问题描述 表单定义如下: class UserInfoEditForm(FlaskForm): """用户信息编辑表单""" new_username = StringField("用户名", validators=[DataRequired()]) new_email = StringField("邮箱", validators=[DataRequired(), Em...
如何安装flask_wtf
最新发布
05-19
安装flask_wtf需要先安装flask框架和wtforms表单工具库。可以使用以下命令安装: ``` pip install Flask pip install WTForms pip install Flask-WTF ``` 安装完成后,在你的python代码中添加以下代码: ```python from flask import Flask, render_template, request from flask_wtf import FlaskForm from wtforms import StringField, SubmitField from wtforms.validators import DataRequired app = Flask(__name__) app.config['SECRET_KEY'] = 'your_secret_key' class MyForm(FlaskForm): name = StringField('Name', validators=[DataRequired()]) submit = SubmitField('Submit') @app.route('/', methods=['GET', 'POST']) def index(): form = MyForm() if form.validate_on_submit(): name = form.name.data return 'Hello, {}'.format(name) return render_template('index.html', form=form) if __name__ == '__main__': app.run(debug=True) ``` 其中,`MyForm`是你定义的表单类,`name`是表单中的一个输入项,`submit`是提交按钮。在`index()`函数中,我们实例化了表单对象,如果用户提交了表单,我们从表单中获取用户输入的名字并返回一个欢迎消息。在启动应用程序之前,我们使用`app.config['SECRET_KEY']`设置一个密钥,以确保应用程序的安全性。 如果你想深入了解flask_wtf使用方法,可以参考文档:https://flask-wtf.readthedocs.io/en/stable/

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值