之前接收一个老项目,版本迭代的时候,发现了一个问题,用户在登出的时候,再次登录时,报400错误,
The CSRF session token is migging.
查了查代码,才发现问题。
这个flask项目是用flask_wtf的csrf 创建的csrf_token的时候,
#创建一个csrf_token值
csrf_token=csrf.generate_csrf()
自动会在session中存放一个值,项目的session存放在redis中,则redis中存在该值。
在cookie中,前开发工程师也把csrf_token存放了一份在cookie中,
# 设置cookie值
resp.set_cookie("csrf_token", csrf_token)
在项目中使用flask_wtf的CSRFProtect(app)进行保护的时候,实则是从session中读取csrf_token值,与前端请求数据中的headers中传过来的csrf_token进行比较。
当登出清除session时,csrf_token值也一起删除了,而浏览器再次加载页面时,由于浏览器缓存机制,是通过浏览器的缓存访问页面,并未经过后台,所以不会再生成csrf_token,也不会存放在redis的session中,导致csrf机制报错.
当然,清空缓存,刷新后,则可以再次登录,但这不是个解决办法。
在不破坏原有代码体系上,即 依旧使用flask_wtf的csrf机制,
可以在清空session前,获取csrf_token的值,清空后再加上。
csrf_token=session.get('csrf_token')
session.clear()
session['csrf_token']=csrf_token