Flask CSRF的保护与cookie中的 csrf_token 和表单中的 csrf_token实现

最新推荐文章于 2025-06-29 09:23:35 发布
转载 最新推荐文章于 2025-06-29 09:23:35 发布 · 1.9k 阅读 · 3

本文详细介绍了在Flask框架中如何实现CSRF保护,包括CSRFProtect的配置与使用,csrf_token的生成与传递,以及如何在前端请求中正确携带csrf_token。同时,提供了在不同场景下实现CSRF保护的具体代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Flask中请求体的请求开启CSRF保护可以按以下配置

from flask_wtf.csrf import CSRFProtect

  app.config.from_object(Config)

  CSRFProtect(app)
#像任何其它的 Flask 扩展一样,你可以惰性加载它:
from flask_wtf.csrf import CsrfProtect

csrf = CsrfProtect()
def create_app():
    app = Flask(__name__)
    csrf.init_app(app)

但CSRFProtect只做验证工作,cookie中的 csrf_token 和表单中的 csrf_token 需要按以下方式实现

根据 csrf_token 校验原理,具体操作步骤有以下几步:

1、后端生成 csrf_token 的值,在前端请求登录或者注册界面的时候将值传给前端,传给前端的方式可能有以下两种:

(1)在模板中的 From 表单中添加隐藏字段

(2)将 csrf_token 使用 cookie 的方式传给前端

2、在前端发起请求时,在表单或者在请求头中带上指定的 csrf_token

3、后端在接受到请求之后,取到前端发送过来的 csrf_token,与第1步生成的 csrf_token 的值进行校验

4、如果校验对 csrf_token 一致,则代表是正常的请求,否则可能是伪造请求,不予通过

生成 csrf_token 的值

# 导入生成 csrf_token 值的函数
from flask_wtf.csrf import generate_csrf
# 调用函数生成 csrf_token
csrf_token = generate_csrf()

将 csrf_token 的值传给前端浏览器         实现思路:可以在请求勾子函数中完成此逻辑

通过装饰器为一个模块添加请求钩子, 对当前模块的请求进行额外的处理. 比如权限验证,请求钩子放在app文件加的 __init__.py  create_app函数中

def create_app(config_name):
    app = Flask(__name__)
    #请求钩子
    @app.after_request
    def after_request(response):
        # 调用函数生成 csrf_token
        csrf_token = generate_csrf()
        # 通过 cookie 将值传给前端
        response.set_cookie("csrf_token", csrf_token)
        return response

在前端请求时带上 csrf_token 值

(1)根据登录和注册的业务逻辑,当前采用的是 ajax 请求

(2)所以在提交登录或者注册请求时,需要在请求头中添加 X-CSRFToken 的键值对

$.ajax({
   url:"/passport/register",
   type: "post",
   headers: {
          "X-CSRFToken": getCookie("csrf_token")
      },
   // 自定义 getCookie 函数来拿到cookie中的 csrf_token 值(可不写)
   function getCookie(name) {
       var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
       return r ? r[1] : undefined;}
   data: JSON.stringify(params),
   contentType: "application/json",
   success: function (resp) {
       if (resp.errno == "0"){
              // 刷新当前界面
       location.reload()
       }else {
           $("#register-password-err").html(resp.errmsg)
           $("#register-password-err").show()
        }
    }
})

如果模板中有表单,不需要做任何事

<form method="post">
    {{ form.csrf_token }}
      或者:
    {{form.hidden_tag()}}
    ...
</form>

但如果模板中没有表单,你仍需要 CSRF 令牌:

<form method="post" action="/">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

如果使用 csrf_token() 函数来作为 token 的值, 你需要设置 X-CSRFToken 请求头

路由想取消 csrf_token认证

在不需要csrf_token认证的路由中加一个装饰器    @csrf.exempt 就可以取消csrf_token认证

Flaskcsrf_token校验
weixin_42218868的博客
08-08 1234
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对post请求的跨域限制,get请求没有作用 csrf_token的开启 1、首先在配置文件中开启CSRFProtect 2、视图中实例化forms类 3、前端使用csrf_token 4、非flask自创的form表单即前端的form表单使用csrf_t...
报错:{‘csrf_token‘: [‘The CSRF token is missing.‘]}
m0_53291740的博客
01-22 586
flask实现一个简单的注册界面报错。来包含 CSRF 令牌。
Flask 中的session cookie
weixin_43937959的博客
12-08 1218
文章目录前言什么是Cookie?什么是Seesion?什么是tokenFlask中使用CookieFlask中使用session 前言 简单来说,Cookie是客户端用来标识用户信息的,Cookie 就是从服务器生成并返回给浏览器的,登录成功后的 Response Headers 中就有了 Cookie,session是一种会话机制。 提示:以下是本篇文章正文内容,下面案例可供参考 什么是Cookie? 客户端第一次登录时,向服务器传递usernamepwd,服务器接收验证通过后设置一个键值对返回给浏
CSRFCookie、Sessiontoken之间不得不说得那些事儿
besmarterbestronger的博客
10-14 5889
文章目录1. 前言2. 什么是crsf?如何防止3. 什么是cookie?有什么用?机制?4. 什么是session?有什么用?机制?5. 什么是token?有什么用?为什么能防止csrf?6. 总结7. 参考文献 1. 前言 2. 什么是crsf?如何防止 3. 什么是cookie?有什么用?机制? 4. 什么是session?有什么用?机制? 5. 什么是token?有什么用?为什么能防止cs...
Flask-WTF项目中的CSRF保护机制详解
最新发布
gitblog_00587的博客
06-29 634
Flask-WTF项目中的CSRF保护机制详解 什么是CSRF保护 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web安全威胁,攻击者诱导用户在已登录的Web应用中执行非预期的操作。Flask-WTF提供了完善的CSRF保护机制,帮助开发者轻松防御这类攻击。 基本配置 在Flask应用中启用全局CSRF保护非常简单: from flask_wtf.cs...
Flaskcsrf_token的用法
Allen . Liu
09-23 2886
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对post请求的跨域限制,get请求没有作用 csrf_token的开启 在flask中开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
django中写form表单csrf_token的作用
anlou1537的博客
08-12 313
之前在学习django的时候,在template中写form时,出现错误。百度,google后要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 下面是自己的理解。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csrf,这篇文章讲的很好:这。文章最后也说到了,防止csrf的手段就有给form加个toke...
Flask框架 CSRF 保护实现方法详解
09-18
Flask-WTF中,CSRF保护主要通过生成验证CSRF令牌来实现。具体步骤如下: 1. 后端生成一个唯一的CSRF令牌,并将其传递给前端。这可以通过在表单中添加隐藏字段或将令牌作为cookie发送。 2. 前端在提交表单或...
Ajax 使用CSRF tokenFlask /Django交互
LUV_ly_1314的博客
09-03 420
跨站请求伪造也被称为one-click attack 或者 session riding,通常缩写为CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。目前主流的防御方法就是通过Token验证,另外如果前端对存在CSRF防御的服务进行请求,会出现”400 bad request“。在写程序时有时候会让忽略CSRF问题的人莫名其妙,我就是错了好几次(我以为是我的数据格式的问题),看到了浏览器Console才恍然大悟。
基于form表单ajax提交数据,csrftoken验证
m0_73399600的博客
11-13 907
pass。
为什么CSRF Token写在COOKIE
热门推荐
18年3月萌新白帽子
08-14 2万+
最近做渗透测试的时候经常看到用户的COOKIE信息带有CSRF等字样的信息,问了一下同事,他们说这个是用来防御CSRF的字段。 这一下可把我弄懵了,因为我对CSRF的理解是:攻击者盗用用户的COOKIE执行非用户本意的操作。 我的想法是,用户的COOKIE就像是一张门禁卡一样,攻击者可以盗用用户的门禁卡,以被盗用户的身份来执行一些设计增删改的操作,既然用户已经盗用了用户的COOKIE刷卡进门...
Flask-Form表单的使用及其csrf_token的开启使用(六)
z_ipython的博客
08-08 3690
Django 当中有form类,这个类给开发者提供了相当丰富的校验方式。 Flaskdjango同样推出了form类的插件,flask-wtf 一、flask form表单的安装简单字段属性的应用 1、安装flask form插件 pip install flask-wtf 2、flask项目主目录下创建forms.py文件 3、表单常用的字段 字段 说明 String...
Cookie ⽆法防⽌CSRF攻击,⽽token可以
学而不思则忘
05-08 853
1. 为什么Cookie ⽆法防⽌CSRF攻击,⽽token可以? CSRF(Cross Site Request Forgery)⼀般被翻译为 跨站请求伪造 。那么什么是 跨站请求伪造 呢?说简单⽤你的身份去发送⼀些对你不友好的请求。 举个简单的例⼦: ⼩壮登录了某⽹上银⾏,他来到了⽹上银⾏的帖⼦区,看到⼀个帖⼦下⾯有⼀个链接写着“科学理 财,年盈利率过万”,⼩壮好奇的点开了这个链接,结果发现⾃⼰的账户少了10000元。这是这么 回事呢?原来⿊客在链接中藏了⼀个请求,这个请求直接利⽤⼩壮的身份给银⾏发
【JS】JS获取cookiecsrftoken并添加到header
10相濡以沫
08-18 4153
Django需要csrftoken来进行CSRF的防御 既然是前后端都自己写,肯定不能整@csrf_exempt这样的办法 JS用正则表达式获取cookie var regex = /.*csrftoken=([^;.]*).*$/ ; var xCSRFToken = document.cookie.match(regex) === null ? null : document.cookie.match(regex)[1] cookie的样式 Cookie: sessionid=tc3prqefkjt7
Django提交表单报错:CSRF token missing or incorrect.
茕夜
08-29 1万+
1、在Django提交表单时报错:Django提交表单报错: CSRF token missing or incorrect 具体报错页面如下: 2、有道词典翻译后如下: 通常,当存在真正的跨站点请求伪造时,或者Django的CSRF机制没有被正确使用时,就会出现这种情况。至于邮递表格,你须确保: 您的浏览器正在接受cookie。 视图函数将一个请求传递给模板的呈现方法。 在模板...
一句话领略CSRF漏洞,cookie,session,token是什么,()
qq_62708558的博客
04-17 3039
因为后端对用户凭证来源(cookie,ip,session)的过滤未充分行为,导致的其他用户获取到合法访问凭证(别人的qq密码)的行为
python csrf token cookie_{% csrf_token %} 原理作用 (踩坑必看)
weixin_39763033的博客
02-19 426
简介在django中我们需要在templates的form中加入{%csrf_token%}这串内容,它的作用是当我们get表单页面时,服务器返回页面的同时也会向前端返回一串随机字符,post提交时服务器会验证这串字符来确保用户是在服务端返回的表单页面中提交的数据,防止有人通过例如jquery脚本向某个url不断提交数据,是一种数据提交的验证机制。用途跨站点请求伪造(CSRF)保护CSRF攻击允许...
Csrf token
06-21
### CSRF Token 的生成、使用及安全性 #### 1. CSRF Token 的生成 CSRF Token 是一种随机生成的字符串,通常在用户会话初始化时由服务器生成并绑定到用户的会话中。生成方法可以包括使用加密算法结合时间戳、用户标识符(如用户ID)以及其他动态信息来确保其唯一性[^3]。例如,可以使用以下 Python 示例代码生成一个基于 HMAC 的 CSRF Token: ```python import hmac import hashlib import time import base64 def generate_csrf_token(secret_key, user_id): timestamp = str(int(time.time())) token_data = f"{user_id}:{timestamp}" hashed = hmac.new(secret_key.encode(), token_data.encode(), hashlib.sha256) return base64.urlsafe_b64encode(hashed.digest()).decode() ``` 此代码片段通过结合用户ID时间戳生成一个 HMAC 哈希值,并将其编码为 Base64 格式以提高可读性。 #### 2. CSRF Token 的使用 CSRF Token 的主要用途是防止跨站请求伪造攻击。它通过以下方式实现: - **存储**:Token 通常存储在用户的会话中或作为 HTTP-only Cookie 发送到客户端。 - **传输**:在表单提交或 AJAX 请求中,Token 被嵌入到请求体或头部中[^3]。 - **验证**:服务器接收到请求后,将从请求中提取 Token存储在会话中的 Token 进行比较。如果匹配,则认为请求合法;否则拒绝请求。 以下是 HTML 表单中嵌入 CSRF Token 的示例: ```html <form action="/submit" method="POST"> <input type="hidden" name="csrf_token" value="{{ csrf_token }}"> <button type="submit">Submit</button> </form> ``` 在 JavaScript 中通过 AJAX 请求发送 Token 的示例: ```javascript fetch('/submit', { method: 'POST', headers: { 'Content-Type': 'application/json', 'X-CSRF-Token': '{{ csrf_token }}' }, body: JSON.stringify({ data: 'example' }) }); ``` #### 3. CSRF Token 的安全性 为了确保 CSRF Token 的安全性,需要遵循以下原则: - **绑定会话**:Token 必须用户的会话绑定,避免被其他用户冒用。 - **HTTPS 传输**:所有包含 Token 的通信必须通过 HTTPS 加密,防止中间人攻击。 - **有效期管理**:Token 应具有合理的有效期,过期后需重新生成[^3]。 - **二次验证**:对于关键操作,建议结合短信验证码或 TOTP(基于时间的一次性密码)进行二次验证[^3]。 此外,还需要注意 Token 的存储位置。如果存储在 DOM 中,可能会受到 XSS 攻击的影响;因此推荐使用 HTTP-only Cookie 存储 Token。 #### 示例:CSRF Token 的校验逻辑 以下是一个简单的 Flask 后端校验 CSRF Token 的示例: ```python from flask import request, session, abort def validate_csrf_token(): submitted_token = request.form.get('csrf_token') or request.headers.get('X-CSRF-Token') if not submitted_token: abort(403, "Missing CSRF Token") stored_token = session.get('csrf_token') if not stored_token or submitted_token != stored_token: abort(403, "Invalid CSRF Token") ``` ### 总结 CSRF Token 是一种有效的防御机制,用于防止跨站请求伪造攻击。生成时应确保其唯一性不可预测性,使用时需绑定用户会话并通过 HTTPS 传输,同时定期更新以提高安全性[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值