flask中的csrf防御

已于 2022-08-25 20:14:23 修改
阅读量747 收藏 6
点赞数
分类专栏: Flask 文章标签: flask csrf python
于 2020-03-25 00:45:03 首次发布
原文链接:https://blog.csdn.net/weixin_40612082/article/details/81079231
版权

flask中的csrf防御机制
flask中使用CSRFProtect

原理:

1、在前端请求登录或者注册界面的时候将后端生成 csrf_token 的值传给前端,传给前端的方式可能有以下两种:

  • 在模板中的 From 表单中添加隐藏字段
  • 将 csrf_token 使用 cookie 的方式传给前端

2、在用户点击提交表单的时候,在post请求的headers中添加{“X-CSRFToken”:getCookie(csrf_token)}
3、后端在接受到请求之后,取到前端发送过来的 csrf_token,与第1步生成的 csrf_token 的值进行校验
4、如果校验对 csrf_token 一致,则代表是正常的请求,否则可能是伪造请求,不予通过

而在 Flask 中,CSRFProtect 这个类专门只对指定 app 进行 csrf_token 校验操作,所以开发者需要做以下几件事情:

  • 生成 csrf_token 的值
  • 将 csrf_token 的值传给前端浏览器
  • 在前端请求时带上 csrf_token 值

注:Flask-WTF支持跨站请求伪造保护,所以它会为你的表单类自动创建一个CSRF字段,你需要在表单里渲染这个字段:{{ form.csrf_token }}。

代码:

1、开启CSRF防护

在创建app实例的时候
from flask import Flask
from flask_wtf.csrf import CSRFProject

app=Flask(__name__)
# 设置SECRET_KEY,加密生成令牌(csrf_token),再用令牌验证表单数据是否正常;
app.config["SECRET_KEY"] = "aaaaaaaa"

#开启CSRF保护
CSRFProject(app)

2、在前端请求登录或者注册界面的时候将后端生成 csrf_token 的值传给前端(可以在请求勾子函数中完成此逻辑)

@app.after_request
def after_request(response):
    # 调用函数生成 csrf_token
    csrf_token = generate_csrf()
    # 通过 cookie 将值传给前端
    response.set_cookie("csrf_token", csrf_token)
    return response

3、给post请求的ajax中的headers添加“X-CSRFToken”

function getCookie(name) {
    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return r ? r[1] : undefined;
}

# 发起post请求
 req_json = JSON.stringify(req_data);
        $.ajax({
            url: "/api/v1_0/users",
            type: "post",
            data: req_json,
            contentType: "application/json",//指明向后端发送的是json格式数据
            dataType: "json",//指明从后端收到的数据是json格式的
            headers:{
                "X-CSRFToken":getCookie("csrf_token")
            },
            success: function (resp) {
                if (resp.errno == 0) {
                    //注册成功,引导到主页界面
                    location.href = "/";

                } else {
                    alert(resp.errmsg);
                }
            }
        })

4、CSRFProtect会取出请求头中的X-CSRFToken(csrf_token)与第1步生成的 csrf_token 的值进行校验。

zy_whynot
关注
专栏目录
XSS跨站脚本攻击剖析与防御
04-03
- 6.4 "利用flash进行xss攻击剖析.pdf"可能讨论了Flash技术在XSS攻击的角色,因为Flash曾经广泛用于网页交互,但其安全漏洞经常被利用。 - 6.3 "Flash客户端攻击剖析.pdf"则可能详细分析了Flash客户端的漏洞以及...
Flask CSRF 保护
aoeryule的博客
03-12 150
【代码】Flask CSRF 保护。
Flask框架——CSRF保护
HMMHMH的博客
10-12 571
目录CSRF攻击如何防御CSRF攻击Flask框架CSRF保护机制 CSRF攻击 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全。 攻击示意图: 如何防御CSRF攻击 在客户端...
Flask form表单和ajax开启CSRF保护
qq_35549440的博客
08-11 1332
 不要把HTML文件放在static,不然密钥无法获取。测试不行记得清缓存。 1. form表单开启需要2步  首先在启动文件加入 CSRFProtect(app) from flask import Flask from flask.ext.bootstrap import Bootstrap #定义app对象 app=Flask(__name__) #开启保护 from flask_...
flask使用ajax
qq_39112101的博客
08-09 5030
前端使用ajax的方式如下 get方式的ajax如下,当提交到后台的数据没有问题的时候才可以继续填写表单,否则禁止点击提交按钮 $('#username').blur( function () { var value = $('#username').val(); var url = '/UserVaild/?us...
Flask实现CSRF保护
热门推荐
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
PHP实例开发源码—Flexsns-sky完全FLASH许愿天空(php许愿墙).zip
11-11
- **XSS(跨站脚本攻击)防御**:对用户提交内容进行转义或过滤,防止恶意代码注入。 - **CSRF(跨站请求伪造)防护**:使用令牌机制确保请求来源的有效性。 7. **模板引擎** - **可能使用模板引擎**如Smarty,...
阿里巴巴和淘宝集团web安全标准1
08-08
- 防御措施包括限制Flash的使用,更新到最新安全版本,或者完全移除Flash组件。 3. **第三方脚本引用**: - 引入第三方脚本可能引入未知风险,因为它们可能含有漏洞或不安全的实现。 - 解决方案包括对第三方库...
跨域资源那些事.pdf
08-08
在过去的几年,Flash曾被广泛用于跨域请求,因为它允许通过crossdomain.xml文件设置跨域策略。攻击者可能会利用不恰当配置的crossdomain.xml文件进行跨站请求伪造(CSRF)或其他攻击。随着HTML5技术的发展,Flash...
flask用ajax实现页面实时更新(轮询)功能——以课表实时更新为例
numb_ac的博客
10-26 4661
一、用ajax实现将时间传入HTML界面(用按钮查询) 1. 下载jquery,将其放在static里面 下载地址 2. 写HTML页面,放到template里面,并写对应的视图函数 HTML: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>轮询</title> </head> <body> <
flask使用CSRFProtect
python_tty的专栏
03-29 2791
csrf是跨站请求伪造攻击,它的原理是诱导用户浏览器访问已经认证过的网站,从而实现自己的攻击目的,危害性很大,所以我们在网站开发过程要加入csrf保护。现在的web框架都提供了相应的csrf protect方法。 falskcsrf protect使用: from flask_wtf.csrf import CSRFProtect csrf = CSRFProtect(app) ...
Django的安全特性(二) 跨站点请求伪造(CSRF)保护
ckk727的博客
03-06 475
一、CSRF是什么? CSRF文名为跨站请求伪造,CSRF攻击指的是恶意用户盗用你的信息,以你的名义发送恶意请求。 这将包括:以你的名义发送邮件,发送信息,盗取账号,购买商品,甚至货币转账等恶性行为。 二、CSRF攻击原理 如图: 更具体的可以参阅这篇博客: CSRF攻击与防御 这里不再过多介绍。 三、在Django使用CSRF保护 Django的CSRF间件和相关的模板标签提供了...
学习FlaskCSRF
吴家健ken的博客
07-26 897
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
flask的ajax的csrf代码
weixin_42218868的博客
08-08 773
1、ajax前端代码 Ajax本身是一门独立的技术,是实现前后端数据分离的一种措施,实现了局部请求, 所以ajax本身的代码不会因为后端框架变化而变化,变化的只有接口。以注册的用户 名重复作为校验。 ajax语法: 先根据id离焦或聚焦等事件触发js,声明路由和传参,post请求要在传递的参数里添加“csrf_token:'{{csrf_token}}'” 然后写ajax的固定语法 $.ajax(...
Flask框架在Ajax请求开启CSRF保护
kikaylee的专栏
03-19 3309
前面Flask学习总结笔记(5)– Form表单对表单提交开启CSRF保护进行了详细讲解。虽然Ajax不同于表单提交,但是我们同样可以手动利用相同的办法,开启CSRF保护。
Flaskcsrf_token的设置
qq_44906497的博客
10-18 245
【代码】Flaskcsrf_token的设置。
CSRF Protector:守护你的PHP应用安全之盾
最新发布
gitblog_00074的博客
05-31 262
CSRF Protector:守护你的PHP应用安全之盾 项目地址:https://gitcode.com/mebjas/CSRF-Protector-PHP 在当今的Web开发世界,跨站请求伪造(CSRF)攻击是一种常见的安全威胁,它让攻击者能伪装成用户的名义执行恶意操作。为解决这一痛点,我们向您推荐CSRF Protector——一个专注于PHP领域的轻量级防护库,旨在为你宝贵的web应用穿...
Flask-9 CSRF保护
xy_best_的博客
05-10 282
目录为什么需要 CSRF?实现AJAX故障排除 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块: from flask_wtf.csr
保障Web安全:防范CSRF漏洞策略与实践
防止CSRF漏洞是现代Web开发和运维至关重要的安全措施,它确保用户提交的数据不受恶意攻击者的操纵。CSRF (Cross-Site Request Forgery) 攻击的发生,源于攻击者能够利用已知的用户凭证,伪造用户的请求,从而执行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值