Flask教程笔记-CSRF token保护验证

最新推荐文章于 2025-04-29 12:06:34 发布
最新推荐文章于 2025-04-29 12:06:34 发布
阅读量8.5k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 编程之美 文章标签: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pyphrb/article/details/51982095
这篇博客详细介绍了Flask中实现CSRF token保护验证的过程,包括User Form验证模块代码、HTML模板index.html的编写、控制器视图信息及CSRF验证的注意事项。在使用Flask-WTF进行表单验证时,若导入Form错误,可能会导致'Bad Request/CSRF token missing or incorrect'的错误,需注意导入路径的正确性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Flask教程笔记-CSRF token保护验证

#! coding=utf8
from flask import Flask, render_template
from flask_sqlalchemy import SQLAlchemy
from flask_bootstrap import Bootstrap
from flask_wtf.csrf import CsrfProtect
#导入CsrfProtect的模块
app = Flask(__name__)
app.config.from_object('config')
db = SQLAlchemy(app)
csrf = CsrfProtect(app)#app项目加载CsrfProtect
bootstrap = Bootstrap(app)
from app.views import IndexView
User Form验证模块代码
# -*- coding:utf-8 -*-
__author__ = 'pyphrb'
from flask_wtf import Form
from wtforms import StringField,SubmitField
from wtforms.validators import DataRequired

class MyForm(Form):
    name = StringField('name', validators=[DataRequired(message=u"姓名不能为空")])
    submit = SubmitField(u'提交')
html代码index.html
<form method="POST" action="/submit">
    {{ form.csrf_token }}
    #判断name的表单验证是否有问题,有问题直接显示error信息
    {% if form.errors.name %}
        {{ form.name.label }} {{ form.name(size=20) }}
        {% for error in form.errors.name %}
            <span>{{ error }}</span>
        {% endfor %}
    {% else %}
        {{ form.name.label }} {{ form.name(size=20) }}
    {% endif %}
    {% if form.errors.csrf_token  %}
        {% for error in form.errors.csrf_token %}
            <span>{{ error}}</span>
        {% endfor %}
    {% endif %}
    #判断csrf是否有错误
    {{ form.submit }}
</form>
controller的view信息
__author__ = 'pyphrb'
from app import app
from flask import render_template, url_for, request, make_response
from flask import session, redirect, escape
from app.form import User
from app import csrf


@app.route('/', methods=['GET','POST'])
def index():
    userForm = User.MyForm(request.form)
    return render_template('Index/index.html', form=userForm)

@app.route('/submit', methods=['POST'])
def submit():
    userForm = User.MyForm()
    if request.method == 'POST' and userForm.validate():
    #判断访问是否是post并且通过验证表单,进行一下操作
        print 'xxx'
        return "xxxx"
    else:
    #验证失败,返回模板,提示错误信息
        return render_template('Index/index.html', form=userForm)
csrf验证注意事项

当你定义你的表单的时候,如果犯了 这个错误_ : 从 wtforms 中导入 Form 而不是从 flask.ext.wtf 中导入,CSRF 保护的大部分功能都能工作(除了 form.validate_on_submit()),但是 CSRF 保护将会发生异常。在提交表单的时候,你将会得到 Bad Request/CSRF token missing or incorrect 错误。这个错误的出现就是因为你的导入错误,而不是你的配置问题。

[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
CSRF漏洞剖析
zmzsg100的专栏
12-04 974
CSRF的前世今生
Flaskcsrf_token校验
weixin_42218868的博客
08-08 1229
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 1、首先在配置文件中开启CSRFProtect 2、视图中实例化forms类 3、前端使用csrf_token 4、非flask自创的form表单即前端的form表单使用csrf_t...
Flask中的csrf_token的设置
qq_44906497的博客
10-18 374
【代码】Flask中的csrf_token的设置。
Flask项目实战:登录保护CSRF防护
最新发布
weixin_29476595的博客
04-29 328
本文深入探讨了Flask框架中的登录保护机制和CSRF防护策略。通过login_required装饰器和CSRFProtect扩展,实现了对用户访问权限的控制以及表单提交的验证,保障了Web应用的安全性。
Flask中的状态保持
fengxueersui的博客
02-04 1619
状态保持 因为http是一种无状态协议,不会保持某一次请求所产生的信息,如果想实现状态保持,在开发中解决方式有: l  cookie:数据存储在客户端,节省服务器空间,但是不安全 l  session:会话,数据存储在服务器端 无状态协议: 1.     协议对于事务处理没有记忆能力 2.     对同一个url请求没有上下文关系 3.     每次的请求都是独立的,它的
Flask实现CSRF保护
热门推荐
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
Flask CSRF 保护
咸鱼!!!
07-07 621
Flask CSRF 保护为什么需要 CSRF?实现 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所...
WEB漏洞——CSRF
qq_63594215的博客
04-11 1037
这次我来讲讲web漏洞的CSRF笔记总结,主要通过原理、类型、示例以及防御的角度展开说明,希望读者受益。CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。CSRF是通过伪装用户的请求来利用网站,利用网站漏洞从用户那里盗取信息说白了,就是攻击者盗用了你的身份,以你的名义发送恶意请求。
Flask入门—Flask-WTF表单验证
yangyang的专栏
05-01 7449
主要是根据黑马程序员的一门Flask快速入门课程记录的笔记。 视频地址:https://www.bilibili.com/video/av19817183/?p=15 1.原始的表单验证 页面代码: &lt;!DOCTYPE html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; ...
Flask学习笔记5--Flask-WTF表单
PininQ的博客
07-08 864
Web表单 web表单是web应用程序的基本功能。 它是HTML页面中负责数据采集的不见。表单由三个部分组成:表单标签、表单域、表单按钮。表单允许用户输入数据,负责HTML页面数据采集,通过表单将用户输入的数据提交给服务器。 在Flask中,为了处理web表单,我们一般使用Flask-WTF扩展,它封装了WTForms,并且它有验证表单数据的功能。 WTForms支持的HTML标准字段...
学习FlaskCSRF
吴家健ken的博客
07-26 951
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目中说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 中引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 339
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
flask中的csrf防御
zy_whynot的博客
03-25 882
flask中的csrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2、在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie中取出 csrf_token (2)从 表单数......
python csrf token_python/django: {% csrf_token %}
weixin_39798579的博客
12-08 263
csrf_token 是为了防止csrf(跨站请求伪造),防止黑客盗用你存在网站(cookie)上的账户密码和信息具体做了什么:在渲染模板时,django会把 {% csrf_token %} 替换成一个元素。在提交表单的时候,会把这个token给提交上去。django默认启动 'django.middleware.csrf.CsrfViewMiddleware’中间件, 这个中间件就是来验证cs...
python学习-- {% csrf_token %}
weixin_30901729的博客
03-13 516
1、不推荐禁用掉django中的CSRF。 2、我们可以再html页面的form表单中添加csrf_token,带着表单的请求一起发送到服务器去验证。 <form enctype="multipart/form-data"method="post"action="{% url 'new_article' %}"> {%csrf_token%}   ..... ...
Flask框架——Flask-WTF表单:数据验证CSRF保护
霖hero
07-22 1518
为name添加自定义validata_%s,并传入输入值data#使用isdigit检验是否为数字开头,使用data[0]获取数据的首位raiseValidationError('用户名不能以数字开头')#若验证不通过则抛出异常这里我们为form.py表单类中的name添加自定义验证,所以自定义函数名为validate_name,如果我们为表单类中的password添加自定义验证时,自定义函数名为validate_password,也就是说自定义验证函数名要和表单类中字段名要对应。.........
Flask 项目中解决csrf攻击
yutu75的博客
11-22 913
首先装个库吧,命令如下: pip install flask_wtf 在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # 1. session加密的时候已经配置过了.如果没有在配置项中设置,则如下: app.secret_key = "#此处可以写随机字符串#" # 2. 也可以写在配置类中。 class Config(object): DE
csrf-token
weixin_30807677的博客
06-05 277
全文引用ta的博客:https://blog.youkuaiyun.com/bigdaddy_maybe/article/details/82747274 在学习django的时候,在template中写form时,出现错误。要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csr...
Anti-CSRF token
09-24
Anti-CSRF token(跨站请求伪造防护令牌)是一种用于保护网站免受跨站请求伪造(CSRF)攻击的安全机制。它通过在用户访问网站时生成一个唯一的令牌,并将该令牌嵌入到每个表单或请求中。在提交表单或请求时,服务器会验证该令牌是否有效,如果无效则拒绝该请求。 使用Anti-CSRF token可以有效防止攻击者利用用户的身份执行恶意请求。攻击者往往通过诱使用户点击包含恶意代码的链接或访问被攻击的网站,然后在用户不知情的情况下发送恶意请求。但由于攻击者无法获取到有效的Anti-CSRF token,即使请求被发送到服务器,也会因为缺少有效的令牌而被服务器拒绝。 通常,生成Anti-CSRF token需要使用随机数生成器来确保每个令牌的唯一性。服务器端将生成的令牌存储在会话中,并在每次请求时将其与用户提交的令牌进行比较。如果两者不匹配,服务器会拒绝该请求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值