Flask CSRF保护的使用技巧

最新推荐文章于 2024-04-17 14:58:09 发布
最新推荐文章于 2024-04-17 14:58:09 发布
阅读量635 收藏 1
点赞数 1
分类专栏: Flask 文章标签: Flask CSRF WEB常见攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xieyu_666/article/details/81706218
版权

 

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 ——百度百科

网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题,很好理解。

flask 作为一个强带的web微框架,自然也是支持防范csrf攻击的。

通过Flask-WTF来保护表单免受CSRF攻击

何为Flask-WTF

简单说来,使用它可以方便我们构建表单和验证表单,具体用法这里不做赘述

怎么开启保护?

极少的配置,一个应用令牌:

app.config['SECRET_KEY'] = 'you can't know'
或csrf专用令牌
app.config['WTF_CSRF_SECRET_KEY'] = 'IT 666 to 709 kill pic'123

Flask-WTF默认是开启CSRF保护的,你需要的做的是在你的模板中表单一栏加入:

{{ form.csrf_token }}
或者
{{ form.hidden_tag() }}123

这样,csrf保护已经开启。如若你没有上面的代码,提交表单会无法通过form.validate_on_submit(),错误为{'csrf_token': ['The CSRF token is missing.']},但这并不会导致http错误,仅是无法通过验证。

关闭保护

自然,我们很可能有的表单不需要保护,那么,以下三种:

  1. 全局禁用:app.config中设置WTF_CSRF_ENABLED = False

  2. 单个表单禁用:生成表单时加入参数form = Form(csrf_enabled=False)

  3. 不使用Flask-WTF…啊啊,这个很好理解

http://docs.jinkan.org/docs/flask-wtf/from.html

flask 内置的保护机制

有些时候,我根本就用不到Flask-WTF,那么我可以使用flask自身提供的保护机制。

开启保护

要开启csrf攻击保护,需要一下几个步骤。

from flask_wtf.csrf import CSRFProtect
app.config['SECRET_KEY'] = 'you never guess'
CSRFProtect(app)1234

主要为:导入方法,设置密钥,进行保护。 这时候对于一个普通的form,如果你没有

<input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />1

flask会抛出http错误。

临时关闭保护

那么,如何临时关闭csrf保护呢。 上面的代码做修改:

去掉 CSRFProtect(app)
改为 csrf = CSRFProtect()
if __name__ == '__main__':中加入
csrf.init_app(app)
在不需要保护的路由上当加上:
@csrf.exempt12345678

如此,临时关闭了csrf。

http://docs.jinkan.org/docs/flask-wtf/csrf.html

xieyu_666
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
superset0.28.1安装、初始化、运行以及相关错误解决
fancychuan的博客
07-23 5128
【安装方法】 # 1. 创建虚拟环境并指定python版本: conda create -n superset_env python=3.6 # 2. 直接安装superset pip install -i https://pypi.tuna.tsinghua.edu.cn/simple superset # 期间可能安装失败,比如prison提示失败,那么单独装上prison pip...
Flask框架基础学习三
lubuhan的博客
11-02 144
Flask框架基础学习三
flask csrf保护使用技巧
李余通的博客
10-16 1万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 ——百度百科 网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题,很好理解。flask 作为一个强带的web微框架,自然也是支持防范csrf攻击的。通过Flask-WT
使用 Flask-WTF 防止跨站请求攻击CSRF):一份全面指南
最新发布
PythonWeb实践
04-17 976
通过以上步骤,我们已经成功地在 Flask 应用中实现了 Flask-WTF 的 CSRF 保护功能。这将确保我们的应用在处理表单数据时具有更高的安全性。使用 Flask-WTF 防止跨站请求攻击CSRF):一份全面指南。
Flask 项目中form表单出现CSRF missing and The CSRF token is invalid.
qq_40261822的博客
10-17 2313
首先,flask项目中,已经开启csrf保护 from  flask.ext.wtf import  CSRFProtect CSRFProtect(app) 只需在表单中加入 csrf_token() 直接调用,系统会帮你自动生成 csrf_token的值 &lt;form class="news_filter_form" method="post" &gt;             ...
flask: The CSRF token is missing.
正心全栈编程
09-17 1万+
今天在做表单验证时,结果出现了上面这个问题。以前我弄都没有问题,为什么今天会出现这个问题?难道要关机重启??? 于是我便开始断点调试,结果发现在 if form.validate() 判断时出现了问题,然后便跳进去查看,结果发现在验证时多出了一个参数 { "csrf_token": [ "The CSRF token is missing." ] } 然后...
使用flask_wtf 的 csrf时的bug问题
寒风未停的博客
03-09 2939
之前接收一个老项目,版本迭代的时候,发现了一个问题,用户在登出的时候,再次登录时,报400错误, The CSRF session token is migging. 查了查代码,才发现问题。 这个flask项目是用flask_wtf的csrf 创建的csrf_token的时候, #创建一个csrf_token值 csrf_token=csrf.generate_csrf() 自动会在...
Firefox浏览器安全设置技巧.docx
09-26
本文将为您介绍Firefox浏览器安全设置技巧,帮助您更好地保护自己的浏览器安全。 修改User Agent User Agent是浏览器向服务器发送的身份信息,包括浏览器类型、版本、操作系统等信息。修改User Agent可以欺骗...
WEB开发10点技巧
01-19
10. **安全实践**:了解基本的安全措施,如防止XSS和CSRF攻击使用HTTPS加密传输,以及对用户输入进行验证和过滤,可以保护网站免受恶意攻击。 以上十点是WEB开发中不可或缺的基础技巧,涵盖了从设计到实现再到...
PHP实例开发源码—CakePHP编写的开源Web应用框架.zip
11-14
1. 安全性:框架内置了防止SQL注入、XSS攻击等的安全机制,如Sanitize类库和CSRF保护,确保应用的安全运行。 2. 测试驱动开发(TDD):CakePHP 支持PHPUnit,让开发者可以编写单元测试和功能测试,确保代码质量。 3....
WebQian Duan Hei Ke Ji Zhu Jie Mi - Zhong Chen Ming , Xu Shao Pei.mobi
05-24
Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、...
Web前端黑客技术解密
10-30
Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、...
关于Django出现CSRF token missing or incorrect.问题解决办法(参考官方文档)
CP_Hook的专栏
09-27 3611
How to use it To enable CSRF protection for your views, follow these steps: Add the middleware'django.middleware.csrf.CsrfViewMiddlewa
一次父类继承导致的bug,flask: The CSRF token is missing.
a200822146085的博客
11-26 1243
一、问题描述 表单定义如下: class UserInfoEditForm(FlaskForm): """用户信息编辑表单""" new_username = StringField("用户名", validators=[DataRequired()]) new_email = StringField("邮箱", validators=[DataRequired(), Em...
"CSRF token missing or incorrect."的解决方法.
热门推荐
老骥伏枥,志在千里
10-23 4万+
问题: Forbidden (403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a genuine Cross Si
Django REST Framework 解决 CSRF Failed: CSRF token missing or incorrect.
她°
07-08 3893
出现原因 当您使用SessionAuthentication 时,您正在使用 Django 的身份验证,这通常需要检查 CSRF。Django REST Framework 强制执行此操作,仅适用于SessionAuthentication,因此您必须在X-CSRFToken标头中传递 CSRF 令牌。 出现场景 在对外提供一些开放性 api 时,对方是不需要携带 csrf_token 的,但是在我们框架中是使用了 SessionAuthentication 方式对用户进行认证的,自己使用时我们会遵守认证方
docker:容器中修改superset配置文件,避免iframe跨站访问问题
不花的花和尚的博客
05-20 5307
以上定位到superset容器: 然后以root帐户进入容器: 执行docker exec -it --user root 5dd1c0bc2d60 /bin/bash 注意空格问题,否则容易报错 如: 找配置文件进行修改: find./-typef-nameconfig.py 进入目录: cd /usr/local/lib/pyth...
CSRF token missing or incorrect解决办法
wilL-my的博客
10-08 1140
Django提交表单报错:CSRF token missing or incorrect. $.ajaxSetup({headers: {"X-CSRFToken": getCookie("csrftoken")}}); function getCookie(name) { var arr, reg = new RegExp("(^| )" + name + "=([...
Flask实现CSRF保护
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
springsecurity中CSRF怎么使用
05-13
在Spring Security中使用CSRF可以通过以下步骤实现: 1. 在HTML表单中添加CSRF令牌。 2. 配置Spring Security以启用CSRF保护。 3. 配置CSRF令牌在表单提交时如何发送到服务器。 下面是一个基本的示例: 1. 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值