Flask框架 CSRF 保护实现方法详解


Posted in Python onOctober 30, 2019

本文实例讲述了Flask框架 CSRF 保护实现方法。分享给大家供大家参考,具体如下:

Flask CSRF 保护

为什么需要 CSRF?

Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。

例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。

具体操作步骤

根据 csrf_token 校验原理,具体操作步骤有以下几步:
1.后端生成 csrf_token 的值,在前端请求登录或者注册界面的时候将值传给前端,传给前端的方式可能有以下两种:
在模板中的 From 表单中添加隐藏字段
将 csrf_token 使用 cookie 的方式传给前端
2.在前端发起请求时,在表单或者在请求头中带上指定的 csrf_token
3.后端在接受到请求之后,取到前端发送过来的 csrf_token,与第1步生成的 csrf_token 的值进行校验
4.如果校验对 csrf_token 一致,则代表是正常的请求,否则可能是伪造请求,不予通过

而在 Flask 中,CSRFProtect 这个类专门只对指定 app 进行 csrf_token 校验操作,所以开发者需要做以下几件事情:
生成 csrf_token 的值
将 csrf_token 的值传给前端浏览器
在前端请求时带上 csrf_token 值

实现

后端书写

为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块:

from flask_wtf.csrf import CsrfProtect
CsrfProtect(app)

像任何其它的 Flask 扩展一样,你可以惰性加载它:

from flask_wtf.csrf import CsrfProtect
csrf = CsrfProtect()

def create_app():
  app = Flask(__name__)
  csrf.init_app(app)

Note
你需要为 CSRF 保护设置一个秘钥。通常下,同 Flask 应用的 SECRET_KEY 是一样的。

在表单添加保护

如果模板中存在表单,你不需要做任何事情。与之前一样:

<form method="post" action="/">
  {{ form.csrf_token }}
</form>

但是如果模板中没有表单,你需要一个 CSRF 令牌:

<form method="post" action="/">
  <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

自定义错误响应和关闭保护

无论何时未通过 CSRF 验证,都会返回 400 响应。你可以自定义这个错误响应:

@csrf.error_handler
def csrf_error(reason):
  return render_template('csrf_error.html', reason=reason), 400

我们强烈建议你对所有视图启用 CSRF 保护。但也提供了某些视图函数不需要保护的装饰器:

@csrf.exempt
@app.route('/foo', methods=('GET', 'POST'))
def my_handler():
  # ...
  return 'ok'

默认情况下你也可以在所有的视图中禁用 CSRF 保护,通过设置 WTF_CSRF_CHECK_DEFAULT 为 False,仅仅当你需要的时候选择调用 csrf.protect()。这也能够让你在检查 CSRF 令牌前做一些预先处理:

@app.before_request
def check_csrf():
  if not is_oauth(request):
    csrf.protect()

ajax提交数据

不需要表单,通过 AJAX 发送 POST 请求成为可能。Flask0.9.0 版本后这个功能变成可用的。

  • 假设你已经使用了 CsrfProtect(app),你可以通过 {{ csrf_token() }} 获取 CSRF
    令牌。这个方法在每个模板中都可以使用,你并不需要担心在没有表单时如何渲染 CSRF 令牌字段。

我们推荐的方式是在 meta 标签中渲染 CSRF 令牌:

<meta name="csrf-token" content="{{ csrf_token() }}">

在 script 标签中渲染同样可行:

<script type="text/javascript">
  var csrftoken = "{{ csrf_token() }}"
</script>

下面的例子采用了在 meta标签渲染的方式, 在 script 中渲染会更简单,你无须担心没有相应的例子。

无论何时你发送 AJAX POST 请求,为其添加 X-CSRFToken 头:

var csrftoken = $(‘meta[name=csrf-token]').attr(‘content')

KaTeX parse error: Expected '}', got 'EOF' at end of input: …|OPTIONS|TRACE)/i.test(settings.type) && !this.crossDomain) {
xhr.setRequestHeader(“X-CSRFToken”, csrftoken)
}
}
})

或者这么写ajax:
在提交请求时,需要在请求头中添加 X-CSRFToken 的键值对

$.ajax({
  ...
  headers: {
    "X-CSRFToken": getCookie("csrf_token")
  },
  ...
})

故障排除

当你定义你的表单的时候,如果犯了这个错误 : 从 wtforms 中导入 Form 而不是从 flask.ext.wtf 中导入,CSRF 保护的大部分功能都能工作(除了 form.validate_on_submit()),但是 CSRF 保护将会发生异常。在提交表单的时候,你将会得到 Bad Request/CSRF token missing or incorrect 错误。这个错误的出现就是因为你的导入错误,而不是你的配置问题。

希望本文所述对大家基于flask框架的Python程序设计有所帮助。

Python 相关文章推荐
详解Python各大聊天系统的屏蔽脏话功能原理
Dec 01 Python
如何用itertools解决无序排列组合的问题
May 18 Python
用Python实现随机森林算法的示例
Aug 24 Python
python编程测试电脑开启最大线程数实例代码
Feb 09 Python
python顺序的读取文件夹下名称有序的文件方法
Jul 11 Python
对Python3中bytes和HexStr之间的转换详解
Dec 04 Python
Python使用LDAP做用户认证的方法
Jun 20 Python
python 实现将多条曲线画在一幅图上的方法
Jul 07 Python
Python实现将蓝底照片转化为白底照片功能完整实例
Dec 13 Python
python调用有道智云API实现文件批量翻译
Oct 10 Python
cookies应对python反爬虫知识点详解
Nov 25 Python
python实战之用emoji表情生成文字
May 08 Python
使用Python和OpenCV检测图像中的物体并将物体裁剪下来
Oct 30 #Python
python基于K-means聚类算法的图像分割
Oct 30 #Python
Python列表原理与用法详解【创建、元素增加、删除、访问、计数、切片、遍历等】
Oct 30 #Python
Python文件路径名的操作方法
Oct 30 #Python
Python元组 tuple的概念与基本操作详解【定义、创建、访问、计数、推导式等】
Oct 30 #Python
解决python 上传图片限制格式问题
Oct 30 #Python
Python字典的概念及常见应用实例详解
Oct 30 #Python
You might like
phpMyAdmin 链接表的附加功能尚未激活的问题
2010/08/01 PHP
20个PHP常用类库小结
2011/09/11 PHP
浅谈PHP中关于foreach使用引用变量的坑
2016/11/14 PHP
深入浅析PHP的session反序列化漏洞问题
2017/06/15 PHP
索趣科技的答案
2007/02/07 Javascript
经常用到的JavasScript事件的翻译
2007/04/09 Javascript
从零开始学习jQuery (二) 万能的选择器
2010/10/01 Javascript
基于jquery的跟随屏幕滚动代码
2012/07/24 Javascript
JavaScript代码复用模式实例分析
2012/12/02 Javascript
jQuery不间断滚动效果(模拟百度新闻支持文字/图片/垂直滚动)
2013/02/05 Javascript
分享Javascript中最常用的55个经典小技巧
2013/11/29 Javascript
jQuery中scrollLeft()方法用法实例
2015/01/16 Javascript
javascript实现控制div颜色
2015/07/07 Javascript
IE8利用自带的setCapture和releaseCapture解决iframe的拖拽事件方法
2016/10/25 Javascript
JS实现类似百叶窗下拉菜单效果
2016/12/30 Javascript
详谈js中数组(array)和对象(object)的区别
2017/02/27 Javascript
详解使用Node.js 将txt文件转为Excel文件
2017/07/05 Javascript
react中的ajax封装实例详解
2017/10/17 Javascript
AngularJS中scope的绑定策略实例分析
2017/10/30 Javascript
使用百度地图实现地图网格的示例
2018/02/06 Javascript
Vue.js做select下拉列表的实例(ul-li标签仿select标签)
2018/03/02 Javascript
Vue移动端右滑屏幕返回上一页附源码下载
2019/06/26 Javascript
vue获取form表单的值示例
2019/10/29 Javascript
原生js+css调节音量滑块
2020/01/15 Javascript
js实现带积分弹球小游戏
2020/07/21 Javascript
Python实现批量下载文件
2015/05/17 Python
使用python判断jpeg图片的完整性实例
2019/06/10 Python
Python中那些 Pythonic的写法详解
2019/07/02 Python
python3中for循环踩过的坑记录
2020/12/14 Python
匡威帆布鞋美国官网:Converse美国
2016/08/22 全球购物
《宿建德江》教学反思
2014/04/23 职场文书
对党的十八届四中全会的期盼
2014/10/17 职场文书
机关干部四风问题自我剖析及整改措施
2014/10/26 职场文书
群众路线剖析材料(四风)
2014/11/05 职场文书
离婚上诉状范文
2015/05/23 职场文书
laravel ajax curd 搜索登录判断功能的实现
2021/04/17 PHP