flask中使用CSRFProtect

最新推荐文章于 2024-05-31 09:53:04 发布

原创最新推荐文章于 2024-05-31 09:53:04 发布 · 2.9k 阅读

2 ·

CC 4.0 BY-SA版权

web后端专栏收录该内容

1 篇文章

订阅专栏

本文介绍了CSRF（跨站请求伪造）攻击的基本概念及其危害，并详细解释了Flask框架中如何使用CSRFProtect进行防御。通过后端生成并验证csrf_token来确保表单提交的安全。

csrf是跨站请求伪造攻击，它的原理是诱导用户浏览器访问已经认证过的网站，从而实现自己的攻击目的，危害性很大，所以我们在网站开发过程中要加入csrf保护。现在的web框架都提供了相应的csrf protect方法。
falsk中csrf protect使用：

from flask_wtf.csrf  import CSRFProtect
csrf = CSRFProtect(app)                   # 加入这行代码就可以了

CSRFProtect原理分析：
后端根据加密算法，生成csrf_token值，然后把csrf_token存储在session和g中，jinjia模版中根据{{ scrf_token }} 获取token值。提交表单的时候，前端把token值和其他参数一起传回给后端，后端拿到值之后开始验证，如果和session中的值一致，就验证成功，否则验证失败。

如果不想再某一个视图上添加csrf protect,可以使用如下方法取消csrf protect:

@app.route('/test/')
@csrf.exempt
def test(self):
pass

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

python_tty

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

使用 Flask-WTF 防止跨站请求攻击（CSRF）：一份全面指南

PythonWeb实践

04-17

1524

通过以上步骤，我们已经成功地在 Flask 应用中实现了 Flask-WTF 的 CSRF 保护功能。这将确保我们的应用在处理表单数据时具有更高的安全性。使用 Flask-WTF 防止跨站请求攻击（CSRF）：一份全面指南。

参与评论您还未登录，请先登录后发表或查看评论

Flask框架 CSRF 保护实现方法详解

09-18

主要介绍了Flask框架 CSRF 保护实现方法,结合实例形式详细分析了Flask-WTF针对CSRF攻击的防护相关操作技巧,需要的朋友可以参考下

Flask框架——CSRF保护

HMMHMH的博客

10-12

799

目录CSRF攻击如何防御CSRF攻击Flask框架中的CSRF保护机制 CSRF攻击 CSRF全拼为Cross Site Request Forgery，译为跨站请求伪造。 CSRF指攻击者盗用了你的身份，以你的名义发送恶意请求。包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账… 造成的问题：个人隐私泄露以及财产安全。攻击示意图：如何防御CSRF攻击在客户端...

Flask-WTF的CSRF保护详解

qq769747518的博客

08-11

3604

CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRF？ Flask-WTF 表单保护你免受 CSRF 威胁，你不需要有任何担心。尽管如此，如果你有不包含表单的视图，那么它们仍需要保护。例如，由 AJAX 发送的 POST 请求，然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为...

Flask-9 CSRF保护

xy_best_的博客

05-10

381

目录为什么需要 CSRF？实现AJAX故障排除为什么需要 CSRF？ Flask-WTF 表单保护你免受 CSRF 威胁，你不需要有任何担心。尽管如此，如果你有不包含表单的视图，那么它们仍需要保护。例如，由 AJAX 发送的 POST 请求，然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了能够让所有的视图函数受到 CSRF 保护，你需要开启 CsrfProtect 模块: from flask_wtf.csr

Flask 中的CSRF保护

Zhan_y_y的博客

04-23

1878

1.开启CSRF保护在创建app实例时 from flask_wtf.csrf import CSRFProtect def get_app(config_name): # 创建实例 app = Flask(__name__) # 开启csrf保护 CSRFProtect(app)2.对页面HTML加上csrf_token的标签@html_blue.route(...

如何在PyCharm内使用flask_bcrypt

02-28

为了在项目中使用`Flask-Bcrypt`，需要先安装该库以及必要的依赖项。可以利用`pipenv`工具来管理虚拟环境并安装所需的包： ```bash pipenv install Flask-Bcrypt flask-wtf ``` 此命令会创建一个新的虚拟环境，并...

登录中间件应该放到哪段代码中

最新发布

08-13

注意，端点名称是视图函数的名称（即`url_for`中使用的名称），而不是URL路径。 3. **`request.endpoint`**: 这是当前请求的端点名称。Flask将每个路由映射到一个端点。 4. **`session`**: 用于检查用户是否已经登录...

# if username in demo_users and demo_users[username]['password'] == password: # session['username'] = username # flash('✅ 登录成功！', 'success') # return redirect(url_for('home')) # else: # flash('❌ 用户名或密码错误', 'danger') # # # 渲染模板，模板文件名暂保持不变（尽管命名可能引起混淆） # return render_template('login.html', form=form)详细注释这段代码

03-19

首先，我得回顾用户提供的引用内容，尤其是引用[2]，里面提到了用户登录验证、CSRF保护和钩子函数的使用。用户可能希望注释不仅解释代码的功能，还要涵盖安全措施，比如CSRF保护。首先，用户提供的示例代码可能是...

使用Flask表单和表单验证

Flask是一个轻量级的Web开发框架，使用表单可以在Flask应用中方便地采集用户输入数据。本章将介绍Flask表单的基本概念、使用场景以及如何在Flask应用中集成表单功能。 ## 1.1 为什么使用Flask表单在Web应用中，...

Flask中的表单处理与用户认证

在 Flask 应用中，我们可以使用 WTForms 来创建和处理表单。以下是创建分类表单的示例： ```python name = form.name.data category = Category(name) db.session.add(category) db.session.commit() flash('The ...

flask中的csrf防御

zy_whynot的博客

03-25

941

flask中的csrf防御机制两种方式：方式一： 1、在客户端向后端请求界面数据的时候，后端会往响应中的 cookie 中设置 csrf_token 的值 2、在 Form 表单中添加一个隐藏的的字段，值也是 csrf_token 3、在用户点击提交的时候，会带上这两个值向后台发起请求 4、后端接受到请求，以会以下几件事件：（1）从 cookie中取出 csrf_token （2）从表单数......

Flask-WTF 之防止CSRF***学习记录

weixin_33910137的博客

12-22

377

CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRF？Flask-WTF 表单保护你免受 CSRF 威胁，你不需要有任何担心。尽管如此，如果你有不包含表单的视图，那么它们仍需要保护。例如，由 AJAX 发送的 POST 请求，然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...

Flask实现CSRF保护

热门推荐

rongDang的博客

07-17

1万+

参考官方文档 CSRF跨站请求伪造，源于WEB的隐式身份验证机制，WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器，但却无法保证该请求是用户批准发送的。例如，用户登录受信任的网址A，在本地生成了Cookie，在Cookie没有失效的情况下去访问了危险网站B，B可能会盗用你的身份，以你的名义去发送恶意请求，邮件，盗取你的账号，设置购买商品，造成你个人隐私泄露，已经财产安...

跨站请求伪造CSRF以及Flask中的解决办法

weixin_30535043的博客

07-03

249

CSRF CSRF全拼为Cross Site Request Forgery，译为跨站请求伪造。 CSRF指攻击者盗用了你的身份，以你的名义发送恶意请求。包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账...... 造成的问题：个人隐私泄露以及财产安全。 CSRF攻击示意图客户端访问服务器时没有同服务器做安全验证 ...

Flask中的CSRF保护

宇宙有只 AGI 的博客

12-06

328

一、全局CSRF保护 from flask_wtf import CSRFProtect CSRFProtect(app) 二、蓝图CSRF保护过滤 from flask_wtf import CSRFProtect ...

flask_wtf CSRFProtect机制

ypgsh的博客

01-09

2024

一，使用实例化 from flask_wtf import CSRFProtect csrf = CSRFProtect() 初始化 from flask import Flask app = Flask(__name__) ... WTF_CSRF_SECRET_KEY=xxx #设置token 生成salt ... csrf.init_app(app) csrf默认对[...

CSRF Protector：守护你的PHP应用安全之盾

gitblog_00074的博客

05-31

352

CSRF Protector：守护你的PHP应用安全之盾去发现同类优质开源项目:https://gitcode.com/ 在当今的Web开发世界中，跨站请求伪造(CSRF)攻击是一种常见的安全威胁，它让攻击者能伪装成用户的名义执行恶意操作。为解决这一痛点，我们向您推荐CSRF Protector——一个专注于PHP领域的轻量级防护库，旨在为你宝贵的web应用穿上坚实的防弹衣。技术剖析 CSRF...

flask中CSRF保护机制

Junc_hu的博客

10-14

449

如果是发送from表单, 则使用原来的隐藏表单的形式(生成&派发令牌) <form method="post" action="/"> <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" /> </form> 如果是AJA