Flask框架 CSRF 保护实现方法详解


Posted in Python onOctober 30, 2019

本文实例讲述了Flask框架 CSRF 保护实现方法。分享给大家供大家参考,具体如下:

Flask CSRF 保护

为什么需要 CSRF?

Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。

例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。

具体操作步骤

根据 csrf_token 校验原理,具体操作步骤有以下几步:
1.后端生成 csrf_token 的值,在前端请求登录或者注册界面的时候将值传给前端,传给前端的方式可能有以下两种:
在模板中的 From 表单中添加隐藏字段
将 csrf_token 使用 cookie 的方式传给前端
2.在前端发起请求时,在表单或者在请求头中带上指定的 csrf_token
3.后端在接受到请求之后,取到前端发送过来的 csrf_token,与第1步生成的 csrf_token 的值进行校验
4.如果校验对 csrf_token 一致,则代表是正常的请求,否则可能是伪造请求,不予通过

而在 Flask 中,CSRFProtect 这个类专门只对指定 app 进行 csrf_token 校验操作,所以开发者需要做以下几件事情:
生成 csrf_token 的值
将 csrf_token 的值传给前端浏览器
在前端请求时带上 csrf_token 值

实现

后端书写

为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块:

from flask_wtf.csrf import CsrfProtect
CsrfProtect(app)

像任何其它的 Flask 扩展一样,你可以惰性加载它:

from flask_wtf.csrf import CsrfProtect
csrf = CsrfProtect()

def create_app():
  app = Flask(__name__)
  csrf.init_app(app)

Note
你需要为 CSRF 保护设置一个秘钥。通常下,同 Flask 应用的 SECRET_KEY 是一样的。

在表单添加保护

如果模板中存在表单,你不需要做任何事情。与之前一样:

<form method="post" action="/">
  {{ form.csrf_token }}
</form>

但是如果模板中没有表单,你需要一个 CSRF 令牌:

<form method="post" action="/">
  <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

自定义错误响应和关闭保护

无论何时未通过 CSRF 验证,都会返回 400 响应。你可以自定义这个错误响应:

@csrf.error_handler
def csrf_error(reason):
  return render_template('csrf_error.html', reason=reason), 400

我们强烈建议你对所有视图启用 CSRF 保护。但也提供了某些视图函数不需要保护的装饰器:

@csrf.exempt
@app.route('/foo', methods=('GET', 'POST'))
def my_handler():
  # ...
  return 'ok'

默认情况下你也可以在所有的视图中禁用 CSRF 保护,通过设置 WTF_CSRF_CHECK_DEFAULT 为 False,仅仅当你需要的时候选择调用 csrf.protect()。这也能够让你在检查 CSRF 令牌前做一些预先处理:

@app.before_request
def check_csrf():
  if not is_oauth(request):
    csrf.protect()

ajax提交数据

不需要表单,通过 AJAX 发送 POST 请求成为可能。Flask0.9.0 版本后这个功能变成可用的。

  • 假设你已经使用了 CsrfProtect(app),你可以通过 {{ csrf_token() }} 获取 CSRF
    令牌。这个方法在每个模板中都可以使用,你并不需要担心在没有表单时如何渲染 CSRF 令牌字段。

我们推荐的方式是在 meta 标签中渲染 CSRF 令牌:

<meta name="csrf-token" content="{{ csrf_token() }}">

在 script 标签中渲染同样可行:

<script type="text/javascript">
  var csrftoken = "{{ csrf_token() }}"
</script>

下面的例子采用了在 meta标签渲染的方式, 在 script 中渲染会更简单,你无须担心没有相应的例子。

无论何时你发送 AJAX POST 请求,为其添加 X-CSRFToken 头:

var csrftoken = $(‘meta[name=csrf-token]').attr(‘content')

KaTeX parse error: Expected '}', got 'EOF' at end of input: …|OPTIONS|TRACE)/i.test(settings.type) && !this.crossDomain) {
xhr.setRequestHeader(“X-CSRFToken”, csrftoken)
}
}
})

或者这么写ajax:
在提交请求时,需要在请求头中添加 X-CSRFToken 的键值对

$.ajax({
  ...
  headers: {
    "X-CSRFToken": getCookie("csrf_token")
  },
  ...
})

故障排除

当你定义你的表单的时候,如果犯了这个错误 : 从 wtforms 中导入 Form 而不是从 flask.ext.wtf 中导入,CSRF 保护的大部分功能都能工作(除了 form.validate_on_submit()),但是 CSRF 保护将会发生异常。在提交表单的时候,你将会得到 Bad Request/CSRF token missing or incorrect 错误。这个错误的出现就是因为你的导入错误,而不是你的配置问题。

希望本文所述对大家基于flask框架的Python程序设计有所帮助。

Python 相关文章推荐
python发送arp欺骗攻击代码分析
Jan 16 Python
在Linux上安装Python的Flask框架和创建第一个app实例的教程
Mar 30 Python
Python os模块学习笔记
Jun 21 Python
Python作用域用法实例详解
Mar 15 Python
Linux RedHat下安装Python2.7开发环境
May 20 Python
Python使用filetype精确判断文件类型
Jul 02 Python
Python内置函数—vars的具体使用方法
Dec 04 Python
浅谈Python中的作用域规则和闭包
Mar 20 Python
python之Flask实现简单登录功能的示例代码
Dec 24 Python
python添加模块搜索路径和包的导入方法
Jan 19 Python
详解Python类和对象内容
Jun 22 Python
Python anaconda安装库命令详解
Oct 16 Python
使用Python和OpenCV检测图像中的物体并将物体裁剪下来
Oct 30 #Python
python基于K-means聚类算法的图像分割
Oct 30 #Python
Python列表原理与用法详解【创建、元素增加、删除、访问、计数、切片、遍历等】
Oct 30 #Python
Python文件路径名的操作方法
Oct 30 #Python
Python元组 tuple的概念与基本操作详解【定义、创建、访问、计数、推导式等】
Oct 30 #Python
解决python 上传图片限制格式问题
Oct 30 #Python
Python字典的概念及常见应用实例详解
Oct 30 #Python
You might like
用PHP+MySql编写聊天室
2006/10/09 PHP
android上传图片到PHP的过程详解
2015/08/03 PHP
php防止网站被攻击的应急代码
2015/10/21 PHP
PHP的Yii框架中过滤器相关的使用总结
2016/03/29 PHP
一个js实现的所谓的滑动门
2007/05/23 Javascript
基于jQuery的消息提示插件 DivAlert之旅(二)
2010/04/01 Javascript
BOM与DOM的区别分析
2010/10/26 Javascript
js实现addClass,removeClass,hasClass的函数代码
2011/07/13 Javascript
JQuery模板插件 jquery.tmpl 动态ajax扩展
2011/11/10 Javascript
window.open的页面如何刷新(父页面)上层页面
2012/12/28 Javascript
JavaScript中对循环语句的优化技巧深入探讨
2014/06/06 Javascript
js实现String.Fomat的实例代码
2016/09/02 Javascript
详解vue事件对象、冒泡、阻止默认行为
2017/03/20 Javascript
vue之数据交互实例代码
2017/06/16 Javascript
浅谈Node模块系统及其模式
2017/11/17 Javascript
Vue源码解读之Component组件注册的实现
2018/08/24 Javascript
JQuery判断radio单选框是否选中并获取值的方法
2019/01/17 jQuery
vue $set 给数据赋值的实例
2019/11/09 Javascript
javascript前端和后台进行数据交互方法示例
2020/08/07 Javascript
vue项目打包后请求地址错误/打包后跨域操作
2020/11/04 Javascript
Python反射用法实例简析
2017/12/22 Python
python爬取网易云音乐评论
2018/11/16 Python
Python使用while循环花式打印乘法表
2019/01/28 Python
python验证身份证信息实例代码
2019/05/06 Python
在Pytorch中计算卷积方法的区别详解(conv2d的区别)
2020/01/03 Python
利用Python实现学生信息管理系统的完整实例
2020/12/30 Python
成人高等教育毕业生自我鉴定
2013/10/22 职场文书
建筑施工员岗位职责
2013/11/26 职场文书
暖通工程师岗位职责
2014/06/12 职场文书
刑事和解协议书范本
2014/11/19 职场文书
房屋租房协议书范本
2014/12/04 职场文书
给客户的检讨书
2014/12/21 职场文书
客户经理岗位职责大全
2015/04/09 职场文书
消费者理赔投诉书
2015/07/02 职场文书
《植物妈妈有办法》教学反思
2016/02/23 职场文书
Nginx缓存设置案例详解
2021/09/15 Servers