Flask框架——CSRF保护

最新推荐文章于 2024-05-31 09:53:04 发布
最新推荐文章于 2024-05-31 09:53:04 发布
阅读量568 收藏
点赞数
分类专栏: 学习笔记 文章标签: flask csrf CSRFProtect
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsh142537/article/details/83023275
版权

目录

CSRF攻击

CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。
CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…
造成的问题:个人隐私泄露以及财产安全。

攻击示意图:
在这里插入图片描述

如何防御CSRF攻击

csrf_token服务器内部校验过程:
表单提交
1.在表单中携带,隐藏的csrf_token,加密的 (自己设置)
2.在cookie中,设置一个sessionID (服务器设置)
在提交的时候,服务器校验过程:
(1)取出表单中的csrf_token, 使用SECRET_KEY,进行解密, 得到未加密的csrf_token
(2)通过sessionID取出,服务器内部的session空间中的,未加密的csrf_token,比较二者的值是否相等,如果相等则校验通过

非表单提交, ajax提交
1.在headers中设置csrf_token,加密的 (自己设置), 来自于cookie中的 (我们自己设置的)
2.在cookie中,设置一个sessionID (服务器设置)
在提交的时候,服务器校验过程:
(1)取出headers中的csrf_token, 使用SECRET_KEY,进行解密, 得到未加密的csrf_token
(2)通过sessionID取出,服务器内部的session空间中的,未加密的csrf_token,比较二者的值是否相等,如果相等则校验通过

Flask框架中的CSRF保护机制

csrf_token: 为了解决跨站请求伪造,⽽定义的变量
flask中提供了模块flask_wtf⾥⾯提供了⼀个类CSRFProtect来保护
使⽤流程:
1.导⼊模块: from flask_wtf import CSRFProtect
2.使⽤CSRFProtect(app), 保护应⽤程序
3.在表单中,使⽤csrf_token(), ⾃动⽣成⼀个csrf_token值,并且这个值是加密的,需要设置
SECRET_KEY
4.csrfprotect保护的时候对以下请求⽅式做校验:‘POST’, ‘PUT’, ‘PATCH’, ‘DELETE’
代码实现:
在html模板文件中表单提交里需要加上一个隐藏的字段csrf_token
在这里插入图片描述

from flask import Flask,render_template,request
from flask_wtf import CSRFProtect

app = Flask(__name__)

app.config["SECRET_KEY"] = "fjdkfkdjfdk"

CSRFProtect(app)

@app.route('/')
def index():

    return render_template("file08index.html")

@app.route('/register',methods=["POST"])
def register():

    #1.获取参数
    username = request.form.get("username")
    password = request.form.get("password")
    repassword = request.form.get("repassword")

    #2.校验,为空校验
    if not all([username,password,repassword]):
        return "参数填写不完整"

    #3.密码需要一致
    if password != repassword:
        return "密码不一致"


    return "注册成功"

if __name__ == '__main__':
    app.run(debug=True)

具体实现方法(手动添加):

@app.route('/', methods=["POST", "GET"])
def index():
    if request.method == "POST":
        # 取到表单中提交上来的参数
        username = request.form.get("username")
        password = request.form.get("password")

        if not all([username, password]):
            print('参数错误')
        else:
            print(username, password)
            if username == 'laowang' and password == '1234':
                # 状态保持,设置用户名到cookie中表示登录成功
                response = redirect(url_for('transfer'))
                response.set_cookie('username', username)
                return response
            else:
                print('密码错误')

    return render_template('temp_login.html')


#转账页面
@app.route('/transfer', methods=["POST", "GET"])
def transfer():
    # 从cookie中取到用户名
    username = request.cookies.get('username', None)
    # 如果没有取到,代表没有登录
    if not username:
        return redirect(url_for('index'))

    if request.method == "POST":
        to_account = request.form.get("to_account")
        money = request.form.get("money")


        # 取到表单中的token
        form_csrf_token = request.form.get('csrf_token')
        # cookie中的token
        cookie_csrf_token = request.cookies.get('csrf_token', "")

        # 做校验。如果校验成功,再进行转账逻辑
        if form_csrf_token != cookie_csrf_token:
            return "你是坏蛋,非法请求"



        print('假装执行转账操作,将当前登录用户的钱转账到指定账户')
        return '转账 %s 元到账号 %s 成功' % (money, to_account)



    csrf_token = generate_csrf()
    # 渲染转换页面,表单中设置csrf_token
    response = make_response(render_template('temp_transfer.html', csrf_token=csrf_token))
    # 往cookie中添加csrf_token
    response.set_cookie('csrf_token', csrf_token)



    return response


# 生成 csrf_token
def generate_csrf():
    return bytes.decode(base64.b64encode(os.urandom(48)))


if __name__ == '__main__':
    app.run(debug=True, port=9000)
HMMHMH
关注
专栏目录
【python】day10-14 flask框架——电影网站(持续更新中)
xingyunzizai的博客
04-10 3187
目录 1.新建项目 2.进行项目 1.新建readme.txt文件对整个项目进行文字说明 2.按照文字说明进行步骤 1.导入数据库 2.新建app包 3.新建manage.py文件 4.app包下 init.py文件添加代码 5.app包下 新建 admin包 6.templates文件夹下 新建admin包 7.设置修改运行的文件 8.templates/admin/login.html 修改页面 9.admin/views文件中 10.app中新建models.py文件
Flask简介——04 表单
方寸想法,编码宇宙
04-30 556
文章目录引言1.跨站请求伪造保护2.表单类3.把表单渲染成HTML4.在视图函数中处理表单5.重定向和用户会话6.Flash消息 引言 请求对象包含客户端发出的所有请求信息。其中,request.form 能获取POST 请求中提交的表单数据。尽管Flask 的请求对象提供的信息足够用于处理Web 表单,但有些任务很单调,而且要重复操作。比如,生成表单的HTML 代码和验证提交的表单数据。 Fla...
Django中的CSRF保护机制:原理及如何使用?
04-28 594
Django的CSRF保护机制的原理是,当用户访问一个包含表单的页面时,Django会生成一个随机的CSRF令牌并将其存储在用户会话中。当用户提交表单时,Django会验证表单中的令牌是否与用户会话中存储的令牌匹配。CSRF攻击是通过在用户浏览器上发送一个伪造的请求来实现的,请求中包含了用户在其他网站上的身份验证信息。这样,在提交表单时,Django会验证请求中的CSRF令牌是否与用户会话中的令牌匹配。另外,如果使用 AJAX 来提交表单,可以将令牌作为请求的一个参数来传递,或者将其添加到请求头中。
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 298
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
Flask框架 CSRF 保护实现方法详解
09-18
主要介绍了Flask框架 CSRF 保护实现方法,结合实例形式详细分析了Flask-WTF针对CSRF攻击的防护相关操作技巧,需要的朋友可以参考下
框架CSRF防御
云计算?
04-12 104
框架CSRF防御 CSRF攻击的目标,一般都会产生“写数据”操作的URL,比如“增”、“删”、“改”;而“读数据”操作并不是CSRF攻击的目标,因为在CSRF的攻击过程中攻击者无法获取到服务器端返回的数据,攻击者只是借用户之手触发服务器动作,所以读数据对于CSRF来说并无直接的意义(但是如果同时存在XSS漏洞或者其他的跨域漏洞,则可能会引起别的问题,在这里,仅仅就CSRF对抗本身进行讨论)。 ...
Flask-WTF的CSRF保护详解
qq769747518的博客
08-11 3465
CSRF 保护 这部分文档介绍了 CSRF 保护。 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为...
flask中使用CSRFProtect
python_tty的专栏
03-29 2788
csrf是跨站请求伪造攻击,它的原理是诱导用户浏览器访问已经认证过的网站,从而实现自己的攻击目的,危害性很大,所以我们在网站开发过程中要加入csrf保护。现在的web框架都提供了相应的csrf protect方法。 falsk中csrf protect使用: from flask_wtf.csrf import CSRFProtect csrf = CSRFProtect(app) ...
flask中的csrf防御
zy_whynot的博客
03-25 747
flask中的csrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2、在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie中取出 csrf_token (2)从 表单数......
开发知识点-Flask框架
aming小老弟
03-25 3209
Flask框架-知识点Flask框架——简介和快速使用Flask框架——Flask框架之用户管理系统示例Flask框架——基础回顾Flask框架——配置Flask框架——创建路由的两种方式Flask框架——反向生成URLFlask框架——自定义路由转换器Flask框架——app.route参数Flask框架——获取子域名的路由Flask框架——视图中添加装饰器Flask框架——CBV和FBVFlask框架——请求和响应相关Flask框架——模板引擎Flask框架——session使用和源码流程Flask
Flask框架中生成SECRET_KEY密钥——防御CSRF攻击方法之一
我愿做一个聆听者,以学习为伴!
01-05 2696
一、遇到RuntimeError: The session is unavailable because no secret key was set.错误时,原因就是没有设置secret_key ,在代码中加上 app.config['SECRET_KEY']='XXX' 或者 app.secret_key='XXX' SECRET_KEY最好不要写在代码中。最好设置一个config.py文件...
Python-Flask框架之——图书管理系统 , 附详解源码和效果图 !
weixin_30399821的博客
05-04 853
该图书管理系统要实现的功能 : 1. 可以通过添加窗口添加书籍或作者, 如果要添加的作者和书籍已存在于书架上, 则给出相应的提示. 2. 如果要添加的作者存在, 而要添加的书籍书架上没有, 则将该书籍添加到该作者栏. 3. 如果要添加的作者和书籍都不存在于书架上 , 则将书籍和作者一起添加. 4. 每个书籍和作者旁边都有一个删除按钮 , 点击删除书籍的按钮可以将该书籍删除 , 若某作者栏的...
Flask-9 CSRF保护
xy_best_的博客
05-10 282
目录为什么需要 CSRF?实现AJAX故障排除 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块: from flask_wtf.csr
学习FlaskCSRF
吴家健ken的博客
07-26 894
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目中说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 中引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
跨站请求伪造CSRF以及Flask中的解决办法
weixin_30535043的博客
07-03 185
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 ...
flask_wtf CSRFProtect机制
ypgsh的博客
01-09 1863
一,使用 实例化 from flask_wtf import CSRFProtect csrf = CSRFProtect() 初始化 from flask import Flask app = Flask(__name__) ... WTF_CSRF_SECRET_KEY=xxx #设置token 生成salt ... csrf.init_app(app)     csrf默认对[...
使用 Flask-WTF 防止跨站请求攻击(CSRF):一份全面指南
PythonWeb实践
04-17 1103
通过以上步骤,我们已经成功地在 Flask 应用中实现了 Flask-WTF 的 CSRF 保护功能。这将确保我们的应用在处理表单数据时具有更高的安全性。使用 Flask-WTF 防止跨站请求攻击(CSRF):一份全面指南。
CSRF Protector:守护你的PHP应用安全之盾
最新发布
gitblog_00074的博客
05-31 262
CSRF Protector:守护你的PHP应用安全之盾 项目地址:https://gitcode.com/mebjas/CSRF-Protector-PHP 在当今的Web开发世界中,跨站请求伪造(CSRF)攻击是一种常见的安全威胁,它让攻击者能伪装成用户的名义执行恶意操作。为解决这一痛点,我们向您推荐CSRF Protector——一个专注于PHP领域的轻量级防护库,旨在为你宝贵的web应用穿...
Django的安全特性(二) 跨站点请求伪造(CSRF)保护
ckk727的博客
03-06 473
一、CSRF是什么? CSRF,中文名为跨站请求伪造,CSRF攻击指的是恶意用户盗用你的信息,以你的名义发送恶意请求。 这将包括:以你的名义发送邮件,发送信息,盗取账号,购买商品,甚至货币转账等恶性行为。 二、CSRF攻击原理 如图: 更具体的可以参阅这篇博客: CSRF攻击与防御 这里不再过多介绍。 三、在Django中使用CSRF保护 Django的CSRF中间件和相关的模板标签提供了...
Python全栈:Flask框架入门——虚拟环境与Flask基础
在本文中,我们将深入探讨Python全栈开发中的一个重要框架——Flask,以及虚拟环境的使用。首先,我们将了解虚拟环境的概念,为什么我们需要它们,以及如何使用pipenv进行管理。接着,我们将转向Flask框架的介绍,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值