Flask 项目中解决csrf攻击

最新推荐文章于 2021-05-14 01:50:48 发布
最新推荐文章于 2021-05-14 01:50:48 发布
阅读量810 收藏 2
点赞数
分类专栏: flask 文章标签: python flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yutu75/article/details/109960521
版权

首先装个库吧,命令如下:

pip install flask_wtf

在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单

  1. 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值
# 1. session加密的时候已经配置过了.如果没有在配置项中设置,则如下:
app.secret_key = "#此处可以写随机字符串#"

# 2. 也可以写在配置类中。
class Config(object):
    DEBUG = True
    SECRET_KEY = "dsad32DASSLD*13%^32"
    
"""加载配置"""
app.config.from_object(Config)
  1. 导入 flask_wtf.csrf 中的 CSRFProtect 类,进行初始化,并在初始化的时候关联 app
from flask.ext.wtf import CSRFProtect
CSRFProtect(app)
  1. 在表单中使用 CSRF 令牌:
<form method="post" action="/">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

视图代码:

from flask import Flask, render_template, request
from flask_wtf import CSRFProtect

app = Flask(__name__, template_folder='templates')
csrf = CSRFProtect(app)
app.config["SECRET_KEY"] = '223223qwq'


@app.route('/')
def index():
    data = {}
    return render_template('index5.html', **data)


@app.route('/login', methods=["POST"])
def login():
    print(request.form)
    # ImmutableMultiDict([('csrf_token', 'IjcwYWE0YjU3MmY5OWU4MzczNTM2MWJiNjc4NTQ0NjE4MTA2MzliMjAi.X7pChg.dH_NdAfCArZLJSPL8RMrJGc2Lqs'), ('username', ''), ('password', '')])
    return 'ok'


if __name__ == '__main__':
    app.run(debug=True)

模板代码:

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
</head>
<body>
    <form action="{{ url_for('login') }}" method="post">
        <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" >
        账号: <input type="text" name="username" value=""><br><br>
        密码: <input type="password" name="password" value=""><br><br>
        <input type="submit" value="登录">
    </form>
</body>
</html>
小鹿的
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 Flask-WTF 防止站请求攻击CSRF):一份全面指南
PythonWeb实践
04-17 907
通过以上步骤,我们已经成功地在 Flask 应用实现了 Flask-WTF 的 CSRF 保护功能。这将确保我们的应用在处理表单数据时具有更高的安全性。使用 Flask-WTF 防止站请求攻击CSRF):一份全面指南。
flaskcsrf防御
zy_whynot的博客
03-25 722
flaskcsrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应的 cookie 设置 csrf_token 的值 2、在 Form 表单添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie取出 csrf_token (2)从 表单数......
flask csrf保护的使用技巧
热门推荐
李余通的博客
10-16 1万+
CSRF(Cross-site request forgery)站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 ——百度百科 网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题,很好理解。flask 作为一个强带的web微框架,自然也是支持防范csrf攻击的。通过Flask-WT
做一个网站多少钱?
java面试笔试
10-20 336
Java面试笔试面经、Java技术每天学习一点Java面试关注不迷路作者:kimix 的博客来源:kimix.name/做一個網站多少錢?/「一辆车子多少钱?一个房子多少钱?」这问题在工...
flask总结05(在 Flask 项目解决 CSRF 攻击
weixin_34095889的博客
04-08 336
一:安装 flask_wtf pip install flask_wtf 二:设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # session加密的时候已经配置过了.如果没有在配置项设置,则如下: app.secret_key = "#此处可以写随机字符串#" 三:导入 flask_wtf.csrf CSRFProtect 类,...
在Django预防CSRF攻击的操作
12-20
CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 ( 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…) 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问...
CSRF攻击的应对之道
01-30
CSRF(Cross ...然而,该攻击方式并不为大家所熟知,很多网站都有CSRF的安全漏洞。本文首先介绍 CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
详解如何在spring boot使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Flask模拟实现CSRF攻击的方法
09-20
主要介绍了Flask模拟实现CSRF攻击的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Flask教程笔记-CSRF token保护验证
pyphrb的博客
07-21 8405
Flask教程笔记-CSRF token保护验证#! coding=utf8 from flask import Flask, render_template from flask_sqlalchemy import SQLAlchemy from flask_bootstrap import Bootstrap from flask_wtf.csrf import CsrfProtect #导入C
flask使用CSRFProtect
python_tty的专栏
03-29 2739
csrf站请求伪造攻击,它的原理是诱导用户浏览器访问已经认证过的网站,从而实现自己的攻击目的,危害性很大,所以我们在网站开发过程要加入csrf保护。现在的web框架都提供了相应的csrf protect方法。 falskcsrf protect使用: from flask_wtf.csrf import CSRFProtect csrf = CSRFProtect(app) ...
手把手带你学会Flask框架
03-03
Flask框架是Python后端轻量级的框架,其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2,以简洁著称。深受很多公司的喜欢,通过官方扩展和第三方扩展,使Flask框架更加多样化。
flask设置和取消csrf
qq_39112101的博客
08-09 3255
flask-wtf模块携带csrf校验,使用的时候需要开启,csrf的引入和实例化如下 在flaskflask-wtf模块携带csrf校验的,需要开启。在项目的起始位置开启CSRFProtect,然后对整个app保护。 表单设置csrf 前端使用csrf_token,属于teacher_form表单的可以独立使用,不受上面开启的影响 。 csrf的取消:@csrf...
flask_wtf CSRFProtect机制
ypgsh的博客
01-09 1828
一,使用 实例化 from flask_wtf import CSRFProtect csrf = CSRFProtect() 初始化 from flask import Flask app = Flask(__name__) ... WTF_CSRF_SECRET_KEY=xxx #设置token 生成salt ... csrf.init_app(app)     csrf默认对[...
Flaskcsrf_token的用法
Allen . Liu
09-23 2610
flaskflask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的域限制,get请求没有作用 csrf_token的开启 在flask开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
flask框架漏洞
JJT
05-14 5049
在ctf里遇到了关于flask框架漏洞的题,此篇博文较为详细 转自https://www.jianshu.com/p/56614e46093e 一、简介 Flask 是一个使用 Python 编写的轻量级 Web 应用框架。Flask 依赖两个外部库: Jinja2模板引擎和WSGI 工具集。 1、常用概念 WSGI 只是一种接口,它只适用于 Python 语言,其全称为 Web Server Gateway Interface,定义了 web服务器和 web应用之间的接口规范。也就是说,只要 w.
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 283
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
Flask CSRF保护
Zhan_y_y的博客
04-23 1738
1.开启CSRF保护在创建app实例时 from flask_wtf.csrf import CSRFProtect def get_app(config_name): # 创建实例 app = Flask(__name__) # 开启csrf保护 CSRFProtect(app)2.对页面HTML加上csrf_token的标签@html_blue.route(...
表单CSRF攻击 如何解决
最新发布
06-06
表单CSRF攻击可以通过以下措施来进行防范: 1. 随机生成CSRF Token。在表单提交时,服务器会生成一个随机的Token,并将Token存储在Session或者在表单添加隐藏字段。在下一次提交时,表单会携带这个Token,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值