Flask教程笔记-CSRF token保护验证

最新推荐文章于 2025-04-22 17:37:27 发布
最新推荐文章于 2025-04-22 17:37:27 发布
阅读量8.5k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 编程之美 文章标签: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pyphrb/article/details/51982095
这篇博客详细介绍了Flask中实现CSRF token保护验证的过程,包括User Form验证模块代码、HTML模板index.html的编写、控制器视图信息及CSRF验证的注意事项。在使用Flask-WTF进行表单验证时,若导入Form错误,可能会导致'Bad Request/CSRF token missing or incorrect'的错误,需注意导入路径的正确性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Flask教程笔记-CSRF token保护验证

#! coding=utf8
from flask import Flask, render_template
from flask_sqlalchemy import SQLAlchemy
from flask_bootstrap import Bootstrap
from flask_wtf.csrf import CsrfProtect
#导入CsrfProtect的模块
app = Flask(__name__)
app.config.from_object('config')
db = SQLAlchemy(app)
csrf = CsrfProtect(app)#app项目加载CsrfProtect
bootstrap = Bootstrap(app)
from app.views import IndexView
User Form验证模块代码
# -*- coding:utf-8 -*-
__author__ = 'pyphrb'
from flask_wtf import Form
from wtforms import StringField,SubmitField
from wtforms.validators import DataRequired

class MyForm(Form):
    name = StringField('name', validators=[DataRequired(message=u"姓名不能为空")])
    submit = SubmitField(u'提交')
html代码index.html
<form method="POST" action="/submit">
    {{ form.csrf_token }}
    #判断name的表单验证是否有问题,有问题直接显示error信息
    {% if form.errors.name %}
        {{ form.name.label }} {{ form.name(size=20) }}
        {% for error in form.errors.name %}
            <span>{{ error }}</span>
        {% endfor %}
    {% else %}
        {{ form.name.label }} {{ form.name(size=20) }}
    {% endif %}
    {% if form.errors.csrf_token  %}
        {% for error in form.errors.csrf_token %}
            <span>{{ error}}</span>
        {% endfor %}
    {% endif %}
    #判断csrf是否有错误
    {{ form.submit }}
</form>
controller的view信息
__author__ = 'pyphrb'
from app import app
from flask import render_template, url_for, request, make_response
from flask import session, redirect, escape
from app.form import User
from app import csrf


@app.route('/', methods=['GET','POST'])
def index():
    userForm = User.MyForm(request.form)
    return render_template('Index/index.html', form=userForm)

@app.route('/submit', methods=['POST'])
def submit():
    userForm = User.MyForm()
    if request.method == 'POST' and userForm.validate():
    #判断访问是否是post并且通过验证表单,进行一下操作
        print 'xxx'
        return "xxxx"
    else:
    #验证失败,返回模板,提示错误信息
        return render_template('Index/index.html', form=userForm)
csrf验证注意事项

当你定义你的表单的时候,如果犯了 这个错误_ : 从 wtforms 中导入 Form 而不是从 flask.ext.wtf 中导入,CSRF 保护的大部分功能都能工作(除了 form.validate_on_submit()),但是 CSRF 保护将会发生异常。在提交表单的时候,你将会得到 Bad Request/CSRF token missing or incorrect 错误。这个错误的出现就是因为你的导入错误,而不是你的配置问题。

[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
CSRF漏洞剖析
zmzsg100的专栏
12-04 975
CSRF的前世今生
Flaskcsrf_token校验
weixin_42218868的博客
08-08 1229
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 1、首先在配置文件中开启CSRFProtect 2、视图中实例化forms类 3、前端使用csrf_token 4、非flask自创的form表单即前端的form表单使用csrf_t...
Flask中的csrf_token的设置
qq_44906497的博客
10-18 374
【代码】Flask中的csrf_token的设置。
{% csrf_token %}使用无效解决方法
最新发布
weixin_56449709的博客
04-22 217
{% csrf_token %}使用无效解决方法
Flask中的状态保持
fengxueersui的博客
02-04 1619
状态保持 因为http是一种无状态协议,不会保持某一次请求所产生的信息,如果想实现状态保持,在开发中解决方式有: l  cookie:数据存储在客户端,节省服务器空间,但是不安全 l  session:会话,数据存储在服务器端 无状态协议: 1.     协议对于事务处理没有记忆能力 2.     对同一个url请求没有上下文关系 3.     每次的请求都是独立的,它的
Flask实现CSRF保护
热门推荐
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
Flask CSRF 保护
咸鱼!!!
07-07 621
Flask CSRF 保护为什么需要 CSRF?实现 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所...
WEB漏洞——CSRF
qq_63594215的博客
04-11 1039
这次我来讲讲web漏洞的CSRF笔记总结,主要通过原理、类型、示例以及防御的角度展开说明,希望读者受益。CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。CSRF是通过伪装用户的请求来利用网站,利用网站漏洞从用户那里盗取信息说白了,就是攻击者盗用了你的身份,以你的名义发送恶意请求。
Flask入门—Flask-WTF表单验证
yangyang的专栏
05-01 7450
主要是根据黑马程序员的一门Flask快速入门课程记录的笔记。 视频地址:https://www.bilibili.com/video/av19817183/?p=15 1.原始的表单验证 页面代码: &lt;!DOCTYPE html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; ...
Flask学习笔记5--Flask-WTF表单
PininQ的博客
07-08 864
Web表单 web表单是web应用程序的基本功能。 它是HTML页面中负责数据采集的不见。表单由三个部分组成:表单标签、表单域、表单按钮。表单允许用户输入数据,负责HTML页面数据采集,通过表单将用户输入的数据提交给服务器。 在Flask中,为了处理web表单,我们一般使用Flask-WTF扩展,它封装了WTForms,并且它有验证表单数据的功能。 WTForms支持的HTML标准字段...
学习FlaskCSRF
吴家健ken的博客
07-26 951
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目中说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 中引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 339
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
flask中的csrf防御
zy_whynot的博客
03-25 883
flask中的csrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2、在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie中取出 csrf_token (2)从 表单数......
python csrf token_python/django: {% csrf_token %}
weixin_39798579的博客
12-08 263
csrf_token 是为了防止csrf(跨站请求伪造),防止黑客盗用你存在网站(cookie)上的账户密码和信息具体做了什么:在渲染模板时,django会把 {% csrf_token %} 替换成一个元素。在提交表单的时候,会把这个token给提交上去。django默认启动 'django.middleware.csrf.CsrfViewMiddleware’中间件, 这个中间件就是来验证cs...
python学习-- {% csrf_token %}
weixin_30901729的博客
03-13 516
1、不推荐禁用掉django中的CSRF。 2、我们可以再html页面的form表单中添加csrf_token,带着表单的请求一起发送到服务器去验证。 <form enctype="multipart/form-data"method="post"action="{% url 'new_article' %}"> {%csrf_token%}   ..... ...
Flask框架——Flask-WTF表单:数据验证CSRF保护
霖hero
07-22 1522
为name添加自定义validata_%s,并传入输入值data#使用isdigit检验是否为数字开头,使用data[0]获取数据的首位raiseValidationError('用户名不能以数字开头')#若验证不通过则抛出异常这里我们为form.py表单类中的name添加自定义验证,所以自定义函数名为validate_name,如果我们为表单类中的password添加自定义验证时,自定义函数名为validate_password,也就是说自定义验证函数名要和表单类中字段名要对应。.........
Flask 项目中解决csrf攻击
yutu75的博客
11-22 913
首先装个库吧,命令如下: pip install flask_wtf 在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # 1. session加密的时候已经配置过了.如果没有在配置项中设置,则如下: app.secret_key = "#此处可以写随机字符串#" # 2. 也可以写在配置类中。 class Config(object): DE
csrf-token
weixin_30807677的博客
06-05 277
全文引用ta的博客:https://blog.youkuaiyun.com/bigdaddy_maybe/article/details/82747274 在学习django的时候,在template中写form时,出现错误。要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csr...
Anti-CSRF token
09-24
Anti-CSRF token(跨站请求伪造防护令牌)是一种用于保护网站免受跨站请求伪造(CSRF)攻击的安全机制。它通过在用户访问网站时生成一个唯一的令牌,并将该令牌嵌入到每个表单或请求中。在提交表单或请求时,服务器...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值