- 1置顶帖 - 本帖收集增加的内容公开
- 2基础 - Flask + Pycharm 环境配置公开
- 3基础 - 最简单的应用公开
- 4基础 - 有蓝图的应用公开
- 5有蓝图的应用 - 修改步骤详解公开
- 6有蓝图的应用 - 框架搭建 - 超好用公开
- 7配置文件 - 直接配置公开
- 8配置文件 - 详解配置项公开
- 9配置文件 - 单环境 - config.py公开
- 10配置文件 - 多环境 - dev_config.py公开
- 11启动命令 - 启动命令公开
- 12应用上下文 - ApplicationContext - current_app|g公开
- 13请求上下文 - Request Context:requests|session公开
- 14路由 - @app.route("/")公开
- 15小话题 - [GET][POST]小历史公开
- 16Flask - [GET][POST]获得参数公开
- 17Flask - url_for("蓝图.方法") - 转到另一个函数公开
- 18Flask - return 返回参数 - RestfulAPI公开
- 19Flask - 用代码创建数据库公开
- 20Flask - 内置 - request模块 - 请求公开
- 21Flask - 内置 - Csrf公开
- 22Flask - 内置 - Csrf + Ajax公开
- 23Flask - 内置 - session - 客户端缓存公开
- 24Flask - 扩展 - flask_cors - 跨域公开
- 25Flask - 扩展 - redis - 直接使用公开
- 26Flask - 扩展 - redis - pipeline批量公开
- 27Flask - 扩展 - redis - Lua脚本公开
- 28Flask - 扩展 - Flask-session - 缓存+Redis公开
- 29Flask - 扩展 - flask-redis - Redis公开
- 30Flask - 扩展 - mysql公开
- 31Flask - 扩展 - Flask-WTF - 表单公开
- 32Flask - 扩展 - jinja2 - 模版处理信息 - {{}}公开
- 33Flask - 扩展 - jinja2 - HTML子模板macro公开
- 34Flask - 扩展 - jinja2 - 分页公开
- 35Flask - 扩展 - jinja2 - 其他公开
- 36Flask - 扩展 - SQLAlchemy - 准备公开
- 37Flask - 扩展 - SQLAlchemy - 增删改查-obj是字典公开
- 38Flask - 扩展 - SQLAlchemy - 查转换DataFrame公开
- 39Flask - 扩展 - flask-mail - 发邮件公开
- 40Flask - 扩展 - Flask-APScheduler - 定时任务公开
- 41Flask - 扩展 - Flask-Sitemap公开
- 42Flask - 加上微信登陆公开
- 43Flask - 加上微信登陆 - 回调公开
- 44Flask - 加上微信支付公开
- 45微服务 - Flask-RESTful公开
- 46Flask - 漏洞公开
Flask - 内置 - Csrf
CSRF 意义
用户登录受信任的网址A,在本地生成了Cookie
在Cookie没有失效的情况下去访问了危险网站B
B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,造成财产安全。
防止 CSRF 攻击
步骤
在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token
在用户点击提交的时候,会带上这两个值向后台发起请求
后端接受到请求,以会以下几件事件:
从 cookie中取出 csrf_token
从 表单数据中取出来隐藏的 csrf_token 的值
进行对比
如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作
Csrf导入
旧:
from flask_wtf.csrf import CsrfProtectcsrf = CsrfProtect()def create_app():app = Flask(__name__)csrf.init_app(app)
新:
from flask_wtf.csrf import CSRFProtectcsrf = CSRFProtect(app)def create_app():app = Flask(__name__)csrf.init_app(app)
为了能够让所有的视图受到CSRF保护,需要扩展 CsrfProtect模块
需要为CSRF保护设置一个密钥,但通常情况下,和Flask应用的SECRET_KEY是一样的。
有的教程会导入CsrfProtect,flask1.0会淘汰掉
现在要导入CSRFProtect
定义没有通过csrf的视图 - 旧
from app import csrf
蓝图引入
@csrf.error_handlerdef csrf_error(reason):return render_template('csrf_error.html', reason=reason), 400
没有通过csrf验证会返回400
定义没有通过csrf的视图 - 新
from flask_wtf.csrf import CSRFErrorBP = Blueprint('BP',__name__)@BP.errorhandler(CSRFError)def csrf_error(reason):return "重新登录或刷新"
不需要保护的视图加一个装饰器
@csrf.exempt@app.route('/foo', methods=('GET', 'POST'))def my_handler():
exempt 豁免
html 引入
如果你设置的模板中存在表单,你只需要在表单中添加如下
<form method="post" action="/">{{ form.csrf_token }}</form>
如果没有模板中没有表单,你仍然需要一个 CSRF 令牌:
<form method="post" action="/"><input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />