Web框架——Flask系列之CSRFToken详解(四)

最新推荐文章于 2024-04-08 01:31:34 发布
最新推荐文章于 2024-04-08 01:31:34 发布
阅读量401 收藏
点赞数 1
文章标签: 安全 csrf python web框架 flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44827418/article/details/106444705
版权

CSRF(理解)

一. 什么是CSRFToken?

  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造
  • CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
    包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…
  • 造成的问题:个人隐私泄露以及财产安全。

二.CSRF攻击示意图

  • 客户端访问服务器时没有同服务器做安全验证
    在这里插入图片描述

三.防止CSRF攻击

  1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
  2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token
  3. 在用户点击提交的时候,会带上这两个值向后台发起请求
  4. 后端接受到请求,以会以下几件事件:
  • 从 cookie中取出 csrf_token
  • 从 表单数据中取出来隐藏的 csrf_token 的值
  • 进行对比
  1. 如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

四.csrf校验机制作用域代码

  1. flask_wtf模块提供了csrf攻击的保护
  2. 使用流程:
  • from flask_wtf.csrf import CSRFProtect
  • CSRFProtect(app)
  1. CSRFProtect(app)保护原理:
  • 对应用程序app中的post,put,dispatch,delete, 4种类型的请求做保护,因为这些类型的请求是用于更改服务器的资源
  • 当以上面4种类型的请求,操作服务器资源的时候,会校验cookie中的csrf_token, 表单中的csrf_token信息
  • 只有上面二者的值相等的时候,那么校验则通过,可以操作服务器资源

提示: csrf_token值的生成需要加密, 所以设置SECRET_KEY

代码展示
后端代码:

from flask import Flask,render_template
from flask_wtf import CSRFProtect

app = Flask(__name__)

#设置SECRET_KEY
app.config["SECRET_KEY"] = "fjkdjfkdfjdk"

#保护应用程序
CSRFProtect(app)

@app.route('/')
def show_page():

    return render_template('file01csrf.html')

@app.route('/add_data',methods=["POST"])
def add_data():

    return "登陆成功"

if __name__ == '__main__':
    app.run(debug=True)

前端代码,file01csrf.html文件:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/add_data" method="post">
    {#设置隐藏的csrf_token,使用了CSRFProtect保护app之后,即可使用csrf_token()方法#}
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}">

    <label>用户名:</label> <input type="text" name="username"><br>
    <label>密码:</label> <input type="text" name="username"><br>
    <input type="submit" value="登陆">
</form>
</body>
</html>
小小白学计算机
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
CTF学习笔记——[HCTF 2018]admin
Obs_cure的博客
02-15 2693
一、[HCTF 2018]admin 1.题目 2.解题步骤 这个靶场还是很完整的,注册登陆一应俱全,还有留言板。注册和登陆部分尝试了一下,大部分我认知中的注入都被过滤了。于是老老实实注册了个账号。发现里面有个留言板。这不就是师傅们经常攻击的地方吗~ 随便注入的两下没什么反应,看看源码呢~ 嗯?这个注释? 虽然能猜到这个是网站的源码,但由于没有网页的开发经验,所以很遗憾还是没看出什么门道~看WriteUp! 说实话看完之后有点被震撼到。跟着师傅们把三种做法都过一遍~ 这道题的突破口首先是github
Flaskcsrf_token校验
weixin_42218868的博客
08-08 1125
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 1、首先在配置文件中开启CSRFProtect 2、视图中实例化forms类 3、前端使用csrf_token 4、非flask自创的form表单即前端的form表单使用csrf_t...
Flaskcsrf_token的用法
Allen . Liu
09-23 2653
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 在flask中开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
Flask中的csrf_token的设置
qq_44906497的博客
10-18 227
【代码】Flask中的csrf_token的设置。
Web安全CSRF(Token)
weixin_44431280的博客
02-14 3824
CSRFToken Token:令牌,和Session,Cookie一样,都是身份标识,Token通常存在于URL和Cookie中 Token作用: 1,防止表单重复提交 服务端收到客户端发送的Token后,如果和Session中的值相同,此时客户端中session中的Token会更新 2,防止CSRF(跨站请求攻击) 举例: 构造的CSRF,因为Token的原因,所以攻击失败 Token产生过程: 当客户端请求服务端页面时,服务端生成一个随机数Token存放在Session中,同时也会将sessio
Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求
paul0926的博客
07-03 4705
Flask--CSRFToken保护什么是csrfcsrf具体过程csrf保护实现后端写保护表单提交添加保护自定义错误响应和关闭保护ajax提交 前文: 查看官方文档:http://www.pythondoc.com/flask-wtf/csrf.html#id4 什么是csrf 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包...
【学习笔记】PythonWeb(Ⅰ)—— Flask
最新发布
Eddie_hyh的博客
04-08 1226
PythonWeb第一部分:Flask
Python-Flask框架之——图书管理系统 , 附详解源码和效果图 !
weixin_30399821的博客
05-04 842
该图书管理系统要实现的功能 : 1. 可以通过添加窗口添加书籍或作者, 如果要添加的作者和书籍已存在于书架上, 则给出相应的提示. 2. 如果要添加的作者存在, 而要添加的书籍书架上没有, 则将该书籍添加到该作者栏. 3. 如果要添加的作者和书籍都不存在于书架上 , 则将书籍和作者一起添加. 4. 每个书籍和作者旁边都有一个删除按钮 , 点击删除书籍的按钮可以将该书籍删除 , 若某作者栏的...
flask不使用FlaskForm如何在html模板中渲染csrf_token
weixin_43284441的博客
03-31 508
在你的HTML模板中,使用Flask的模板引擎来引用你在Python代码中创建的CSRFProtect对象,并生成一个隐藏的输入字段来存储CSRF token。:在你的Python代码中,处理从HTML模板接收到的CSRF token。:在Flask应用中,创建一个新的CSRFProtect对象,并将其初始化为Flask应用。如果你不想使用FlaskForm,你仍然可以在HTML模板中手动渲染CSRF token。注意,你需要确保CSRF token的值与你在HTML模板中生成的值相匹配。
Web后端学习笔记 Flask(10)CSRF攻击原理
开到荼蘼的博客
04-19 580
CSRF(Cross Site Request Forgery,跨站域请求伪造)是一种网络的攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 CSRF攻击的原理: 网站是通过cookie实现登录功能的,而cookie只要存在浏览器中,那么浏览器在访问这个cookie所对应的网站的时候,就会自动的携带cookie信息到服务器上去。那么这时候就存在一个漏洞,如果你访问了一个病毒网站,那么...
python模拟开发WebQQ(三)处理CSRF
yill_h的博客
06-24 770
对跨站域请求伪造(csrf)的处理,提高软件安全性 当直接post没有加验证时会出现403错误。 这是由于csrf出现的问题     csrf的定义如下: 一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,
flask csrf保护的使用技巧
李余通的博客
10-16 1万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 ——百度百科 网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题,很好理解。flask 作为一个强带的web框架,自然也是支持防范csrf攻击的。通过Flask-WT
Flask CSRF的保护与cookie中的 csrf_token 和表单中的 csrf_token实现
xiaoming0018的博客
02-14 1790
Flask中请求体的请求开启CSRF保护可以按以下配置 from flask_wtf.csrf import CSRFProtect   app.config.from_object(Config)   CSRFProtect(app) #像任何其它的 Flask 扩展一样,你可以惰性加载它: from flask_wtf.csrf import CsrfProtect csrf = C...
flask——CSRFToken保护
brook_的博客
07-07 2369
根据 csrf_token 校验原理,具体操作步骤有以下几步: 1.后端生成 csrf_token 的值,在前端请求登录或者注册界面的时候将值传给前端,传给前端的方式可能有以下两种: 在模板中的 From 表单中添加隐藏字段 将 csrf_token 使用 cookie 的方式传给前端 2.在前端发起请求时,在表单或者在请求头中带上指定的 csrf_toke...
Flask教程笔记-CSRF token保护验证
pyphrb的博客
07-21 8429
Flask教程笔记-CSRF token保护验证#! coding=utf8 from flask import Flask, render_template from flask_sqlalchemy import SQLAlchemy from flask_bootstrap import Bootstrap from flask_wtf.csrf import CsrfProtect #导入C
flask 解决csrf_token无法识别、没有定义
yuxuan89814的专栏
05-28 827
最近在合并两个项目代码,两个项目技术栈是差不多的。后端python +flask,前端是flask template 但是在合并过程中,遇到csrf_token没有定义的错误 <meta id="csrf-token" content="{{ csrf_token() }}"> 原来是在入口文件中,项目中是app目录下__init__.py文件中,没有引入实例化CSRFProtect from flask_wtf.csrf import CSRFProtect csrf = CSRF
跨域post 及 使用token防止csrf 攻击
热门推荐
ymark
12-30 3万+
1.利用iframe进行跨域post提交 2.csrf的攻击和防御措施 3.使用token保护请求 4.关于webapp跨域提交的问题
使用flask提示The CSRF token is missing
fearlazy
03-31 3323
现象: 在使用flask编写的web程序提交表单时出现了如下错误提示: 原因: 程序使用了flask_wtf模块的CSRFProtect来保护表单免受CSRF威胁。默认情况下对 所有视图启用了CSRF保护。但是部分模板中没有表单,所以没有添加csrf令牌,从而导致了错误。 解决办法: 在模板中添加一个CSRF令牌,如下所示: 其他方法: 1.设置默认禁用所有的视图CSRF保护。 设置:WTF_CSRF_CHECK_DEFAULT = False 2.对于部分不..
Python Web框架比较:Flask、Django与Tornado
PythonWEB框架Flask是轻量级的Web开发框架,它在Python Web开发领域中占据了一席之地。相比于重量级框架Django,Flask的设计更为简洁,其核心理念是"微型框架",旨在提供最小化的API,让用户能够快速上手并专注于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值