Flask框架 CSRF 保护实现方法详解


Posted in Python onOctober 30, 2019

本文实例讲述了Flask框架 CSRF 保护实现方法。分享给大家供大家参考,具体如下:

Flask CSRF 保护

为什么需要 CSRF?

Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。

例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。

具体操作步骤

根据 csrf_token 校验原理,具体操作步骤有以下几步:
1.后端生成 csrf_token 的值,在前端请求登录或者注册界面的时候将值传给前端,传给前端的方式可能有以下两种:
在模板中的 From 表单中添加隐藏字段
将 csrf_token 使用 cookie 的方式传给前端
2.在前端发起请求时,在表单或者在请求头中带上指定的 csrf_token
3.后端在接受到请求之后,取到前端发送过来的 csrf_token,与第1步生成的 csrf_token 的值进行校验
4.如果校验对 csrf_token 一致,则代表是正常的请求,否则可能是伪造请求,不予通过

而在 Flask 中,CSRFProtect 这个类专门只对指定 app 进行 csrf_token 校验操作,所以开发者需要做以下几件事情:
生成 csrf_token 的值
将 csrf_token 的值传给前端浏览器
在前端请求时带上 csrf_token 值

实现

后端书写

为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块:

from flask_wtf.csrf import CsrfProtect
CsrfProtect(app)

像任何其它的 Flask 扩展一样,你可以惰性加载它:

from flask_wtf.csrf import CsrfProtect
csrf = CsrfProtect()

def create_app():
  app = Flask(__name__)
  csrf.init_app(app)

Note
你需要为 CSRF 保护设置一个秘钥。通常下,同 Flask 应用的 SECRET_KEY 是一样的。

在表单添加保护

如果模板中存在表单,你不需要做任何事情。与之前一样:

<form method="post" action="/">
  {{ form.csrf_token }}
</form>

但是如果模板中没有表单,你需要一个 CSRF 令牌:

<form method="post" action="/">
  <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

自定义错误响应和关闭保护

无论何时未通过 CSRF 验证,都会返回 400 响应。你可以自定义这个错误响应:

@csrf.error_handler
def csrf_error(reason):
  return render_template('csrf_error.html', reason=reason), 400

我们强烈建议你对所有视图启用 CSRF 保护。但也提供了某些视图函数不需要保护的装饰器:

@csrf.exempt
@app.route('/foo', methods=('GET', 'POST'))
def my_handler():
  # ...
  return 'ok'

默认情况下你也可以在所有的视图中禁用 CSRF 保护,通过设置 WTF_CSRF_CHECK_DEFAULT 为 False,仅仅当你需要的时候选择调用 csrf.protect()。这也能够让你在检查 CSRF 令牌前做一些预先处理:

@app.before_request
def check_csrf():
  if not is_oauth(request):
    csrf.protect()

ajax提交数据

不需要表单,通过 AJAX 发送 POST 请求成为可能。Flask0.9.0 版本后这个功能变成可用的。

  • 假设你已经使用了 CsrfProtect(app),你可以通过 {{ csrf_token() }} 获取 CSRF
    令牌。这个方法在每个模板中都可以使用,你并不需要担心在没有表单时如何渲染 CSRF 令牌字段。

我们推荐的方式是在 meta 标签中渲染 CSRF 令牌:

<meta name="csrf-token" content="{{ csrf_token() }}">

在 script 标签中渲染同样可行:

<script type="text/javascript">
  var csrftoken = "{{ csrf_token() }}"
</script>

下面的例子采用了在 meta标签渲染的方式, 在 script 中渲染会更简单,你无须担心没有相应的例子。

无论何时你发送 AJAX POST 请求,为其添加 X-CSRFToken 头:

var csrftoken = $(‘meta[name=csrf-token]').attr(‘content')

KaTeX parse error: Expected '}', got 'EOF' at end of input: …|OPTIONS|TRACE)/i.test(settings.type) && !this.crossDomain) {
xhr.setRequestHeader(“X-CSRFToken”, csrftoken)
}
}
})

或者这么写ajax:
在提交请求时,需要在请求头中添加 X-CSRFToken 的键值对

$.ajax({
  ...
  headers: {
    "X-CSRFToken": getCookie("csrf_token")
  },
  ...
})

故障排除

当你定义你的表单的时候,如果犯了这个错误 : 从 wtforms 中导入 Form 而不是从 flask.ext.wtf 中导入,CSRF 保护的大部分功能都能工作(除了 form.validate_on_submit()),但是 CSRF 保护将会发生异常。在提交表单的时候,你将会得到 Bad Request/CSRF token missing or incorrect 错误。这个错误的出现就是因为你的导入错误,而不是你的配置问题。

希望本文所述对大家基于flask框架的Python程序设计有所帮助。

Python 相关文章推荐
Python实现把xml或xsl转换为html格式
Apr 08 Python
在Python中用has_key()方法查找键是否存在的教程
May 21 Python
Python函数式编程指南(四):生成器详解
Jun 24 Python
Selenium 模拟浏览器动态加载页面的实现方法
May 16 Python
Django组件之cookie与session的使用方法
Jan 10 Python
解决在pycharm中显示额外的 figure 窗口问题
Jan 15 Python
python 堆和优先队列的使用详解
Mar 05 Python
python实现远程控制电脑
May 23 Python
Python3标准库之threading进程中管理并发操作方法
Mar 30 Python
使用keras根据层名称来初始化网络
May 21 Python
如何通过Python实现RabbitMQ延迟队列
Nov 28 Python
python RSA加密的示例
Dec 09 Python
使用Python和OpenCV检测图像中的物体并将物体裁剪下来
Oct 30 #Python
python基于K-means聚类算法的图像分割
Oct 30 #Python
Python列表原理与用法详解【创建、元素增加、删除、访问、计数、切片、遍历等】
Oct 30 #Python
Python文件路径名的操作方法
Oct 30 #Python
Python元组 tuple的概念与基本操作详解【定义、创建、访问、计数、推导式等】
Oct 30 #Python
解决python 上传图片限制格式问题
Oct 30 #Python
Python字典的概念及常见应用实例详解
Oct 30 #Python
You might like
文件上传类
2006/10/09 PHP
ThinkPHP3.1新特性之对Ajax的支持更加完善
2014/06/19 PHP
PHP性能分析工具XHProf安装使用教程
2015/05/13 PHP
PHP实现的mysql主从数据库状态检测功能示例
2017/07/20 PHP
PHP字符串和十六进制如何实现互相转换
2020/07/16 PHP
Javascript var变量隐式声明方法
2009/10/19 Javascript
js Event对象的5种坐标
2011/09/12 Javascript
JS自动缩小超出大小的图片
2012/10/12 Javascript
js解析与序列化json数据(一)json.stringify()的基本用法
2013/02/01 Javascript
Jquery获取和修改img的src值的方法
2014/02/17 Javascript
JS根据变量保存方法名并执行方法示例
2014/04/04 Javascript
jquery取子节点及当前节点属性值的方法
2014/09/09 Javascript
jQuery中[attribute*=value]选择器用法实例
2014/12/31 Javascript
JavaScript列表框listbox全选和反选的实现方法
2015/03/18 Javascript
Eclipse编辑jsp、js文件时卡死现象的解决办法汇总
2016/02/02 Javascript
Angular 4依赖注入学习教程之Injectable装饰器(六)
2017/06/04 Javascript
webpack+vue-cil中proxyTable处理跨域的方法
2018/07/20 Javascript
详解Vue之父子组件传值
2019/04/01 Javascript
微信小程序自定义弹窗实现详解(可通用)
2019/07/04 Javascript
如何使用 vue-cli 创建模板项目
2020/11/19 Vue.js
[06:20]2015国际邀请赛第三日top10
2015/08/08 DOTA
Python 网络编程起步(Socket发送消息)
2008/09/06 Python
python实现DES加密解密方法实例详解
2015/06/30 Python
Python处理json字符串转化为字典的简单实现
2016/07/07 Python
python DES加密与解密及hex输出和bs64格式输出的实现代码
2020/04/13 Python
捷克家居装饰及图书音像购物网站:Velký košík
2018/04/16 全球购物
乌克兰时尚鞋子和衣服购物网站:Born2be
2018/05/24 全球购物
介绍java中初始化块的使用
2012/09/11 面试题
研修第一天随笔感言
2014/02/15 职场文书
常务副总经理岗位职责
2014/04/12 职场文书
高三上学期学习自我评价
2014/04/23 职场文书
2014年小学数学教师工作总结
2014/12/03 职场文书
班主任先进事迹材料
2014/12/17 职场文书
催款律师函范文
2015/05/27 职场文书
浅谈Python3中datetime不同时区转换介绍与踩坑
2021/08/02 Python
Python采集股票数据并制作可视化柱状图
2022/04/04 Python