Flask-Form表单的使用及其csrf_token的开启使用(六)

最新推荐文章于 2025-03-20 17:28:55 发布
原创 最新推荐文章于 2025-03-20 17:28:55 发布
· 3.6k 阅读 · 16 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flask-form使用 #flask-form-csrf_token使用

Django 当中有form类,这个类给开发者提供了相当丰富的校验方式。
Flask和django同样推出了form类的插件,flask-wtf

一、flask form表单的安装和简单字段属性的应用

1、安装flask form插件

pip install flask-wtf

在这里插入图片描述
在这里插入图片描述

2、flask项目主目录下创建forms.py文件
在这里插入图片描述

3、表单常用的字段

字段说明
StringField字符串
IntegerField整型
TextAreaField文本
PasswordField密码
HiddenField隐藏域
DateFieldDatatime.data格式 年月日
DateTimeFieldDatatime.datatime 格式 年月日 时分秒
FloatField小数
RadioField单选
SelectField下拉
FileField文件
SubmitField提交

表单常用的校验

校验参数说明
Email邮件校验
EqualTo比较两个字段的值,常用于密码比较
IPAddressIpv4格式的IP地址
Length长度
NumberRange数字范围
DataRequired空值检查
Url验证是否符合url格式
AnyOf确保输入值在指定范围
NoneOf确保输入的值不在范围

4、在forms.py文件中导入form表单相关模块,并定义一个Form类

import wtforms # 定义字段
from flask_wtf import FlaskForm # 定义表单
from wtforms import validators # 定义校验
from FlaskStudent.models import Course

course_list = [(c.id,c.name) for c in Course.query.all()]

class TeacherForm(FlaskForm):
    """
    form字段的参数
    label=None, 表单的标签
    validators=None, 校验,传入校验的方法
    filters=tuple(), 过滤
    description='',  描述
    id=None, html id
    default=None, 默认值
    widget=None, HTML样式
    render_kw=None, HTML属性 参数
    """

    name = wtforms.StringField(
        label="教师姓名",
        render_kw={
            "class": "form-control",
            "placeholder": "教师姓名"
        },
        validators=[
            validators.DataRequired("姓名不可以为空")
        ]
    )
    age = wtforms.IntegerField(
        label="教师年龄",
        render_kw={
            "class": "form-control",
            "placeholder": "教师年龄"
        },
        validators=[
            validators.DataRequired("年龄不可以为空")
        ]
    )
    gender = wtforms.SelectField(
        label="教师性别",
        render_kw={
            "class": "form-control",
        },
        choices=[
            ("1","男"),
            ("2","女")
        ]
    )
    course = wtforms.SelectField(
        label="学科",
        render_kw={
            "class": "form-control",
        },
        choices=course_list
    )
    submit = wtforms.SubmitField(
        label="提交",
        render_kw={
            "class": "btn btn-primary btn-block",
        },
    )

5、视图路由文件中定义一个视图函数,并实例化表单,用于前端渲染

@app.route("/add_teacher/",methods=["GET","POST"])
def add_teacher():
    teacher_form = TeacherForm()
    return render_template("add_teacher.html",**locals())

6、前端页面,使用变量渲染form类中的字段
在这里插入图片描述
7、页面效果
在这里插入图片描述

二、flask form 中csrf_token 的使用

flask-wtf模块是携带csrf校验的,只是需要开启。在flask form中默认csrf_token 是没有开启的,需要我们手动去启动form表单的csrf_token。

csrf是针对于post请求的跨域限制,对get请求是没有作用的。

1、首先更改form表单的请求方式为post
在这里插入图片描述

2、首先在项目起始位置开启CSRFProtect,也就是main.py

这里注意由于版本问题,现在可以使用csrfProtect,之前版本会更新到CSRFProtect,所以我们现在索性就直接使用CSRFProtect,避免之后出现问题

导入CSRFProtect模块,关联flask应用
在这里插入图片描述

import pymysql
from flask import Flask
from flask import session
from flask_sqlalchemy import SQLAlchemy
from flask_wtf import CSRFProtect # 导入csrf校验模块,csrfProtect在1.0之后移除

pymysql.install_as_MySQLdb()

app = Flask(__name__)

# 关联csrf和flask应用
csrf = CSRFProtect(app)
# 使用类配置加载
app.config.from_object('config.DebugConfig')


# 关联sqlalchemy和flask应用
db = SQLAlchemy(app)

3、然后在前端使用csrf_token就可以了

这里是根据form表单实例去使用csrf_token的

在这里插入图片描述

如果不配置这句话,而程序入口已经开启了应用的CSRF校验,则会在表单提交时报错

在这里插入图片描述

4、前端页面上打开开发者调试模式,查看csrf_token是否已经生成在隐藏域中
在这里插入图片描述

这里注意:

Django中的csrf_token的name名为middlewarecsrftoken
Flask中的csrf_token的name名为csrf_token

三、临时关闭csrf校验

有时候我们有一些功能虽然用的是post请求,但是又不想进行csrf校验,同时其他的一些功能视图还是需要用csrf校验的,这个时候就需要用到csrf内置的功能,临时关闭保护。

针对于指定的单个视图取消csrf的保护

在不需要保护的路由上方加上这句话:
@csrf.exempt

前提是开启CSRF时需要将CSRFProtect使用一个csrf变量实例化

在这里插入图片描述

然后在视图中导入main.py中应用的csrf对象
在这里插入图片描述

最后在不需要保护的视图路由上方加上这句话

这个时候哪怕是程序入口开启了csrf,还有前端页面页使用了表单实例的csrf_token,但是这时候是不会进行csrf的校验的
在这里插入图片描述

from flask import request
from flask import redirect

from flask import render_template
from FlaskStudent.main import app
from FlaskStudent.models import *
from FlaskStudent.main import csrf
from FlaskStudent.main import session
from FlaskStudent.forms import TeacherForm

@csrf.exempt # 临时关闭csrf校验
@app.route("/add_teacher/",methods=["GET","POST"])
def add_teacher():
    teacher_form = TeacherForm()
    return render_template("add_teacher.html",**locals())

四、定义csrf错误页面

就是在form表单提交,csrf校验失败(不通过)的情况下,不进行下面的报错
在这里插入图片描述

而是跳转到指定的错误提示页面。

这里我们需要新建一个错误提示页面:命名为csrf_403.html

{% extends "blank.html" %}

{% block label %}
    403 error
{% endblock %}

{% block container %}
    <div class="text-center">
        <div class="error mx-auto" data-text="403">403</div>
        <p class="lead text-gray-800 mb-5">csrf_token error</p>
        <p class="text-gray-500 mb-0">please check your settings or form,csrf_token is missing ! </p>
    </div>
{% endblock %}

再定义一个csrf_403的路由视图,用于发生校验错误跳转
这里必须传递一个参数reason,也不需要使用它或是返回它。如果不传递,csrf内置代码就识别不了,会报错。

# csrf 如果没有配置跳转的错误页面
# @csrf.error_handler
@app.route("/csrf_403/")
def csrf_tonken_error(reason):
    return render_template("csrf_403.html")

视图路由定义完了,再跟关闭csrf保护一样,在路由上方添加一个装饰器

@csrf.error_handler

添加这句话之后,只要前端提交表单时csrf校验失败,就是跳转到该路由视图指定的页面(该方法使用于所有csrf校验失败的视图)

from flask import request
from flask import redirect

from flask import render_template
from FlaskStudent.main import app
from FlaskStudent.models import *
from FlaskStudent.main import csrf
from FlaskStudent.main import session
from FlaskStudent.forms import TeacherForm

@csrf.exempt # 临时关闭csrf校验
@app.route("/add_teacher/",methods=["GET","POST"])
def add_teacher():
    teacher_form = TeacherForm()
    return render_template("add_teacher.html",**locals())

# csrf 如果没有配置跳转的错误页面
@csrf.error_handler # csrf错误跳转
@app.route("/csrf_403/")
def csrf_tonken_error(reason):
    return render_template("csrf_403.html")

效果:

我现在将add_teacher.html页面上的csrf变量注释掉

在这里插入图片描述
这个时候提交表单

在这里插入图片描述

就会跳转的定义的403页面

在这里插入图片描述

FlaskFlask Form表单
Python、Golang、大数据
03-25 1847
用户执行某些动作后,通常需要在页面显示一个提示消息。函数在内部会把消息存储到 Flask 提供的。再次校验,就能够正常输出不通过校验的信息。函数用来在视图函数里向模板传递提示消息,编写表单组件的代码,这里新建一个。函数则用来在模板中获取提示消息。访问路由,查看是否能够使用。目录,目录结构如下所示。验证邮箱需要单独安装。
Flaskcsrf_token校验
weixin_42218868的博客
08-08 1229
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token开启 1、首先在配置文件中开启CSRFProtect 2、视图中实例化forms类 3、前端使用csrf_token 4、非flask自创的form表单即前端的form表单使用csrf_t...
Flask学习总结笔记(5)-- Form表单
热门推荐
kikaylee的专栏
12-18 1万+
Form表单是Web应用中最基础的一部分。为了能处理Form表单Flask-WTF扩展提供了良好的支持。 0x01 安装 Flask-WTF的安装在前面的博客Flask学习总结笔记(1)– 环境配置中介绍过了: pip install flask-wtf 具体的过程就不再赘述了。 0x02 开启CSRF保护 Flask-WTF提供了对所有Form表单免受跨站请求伪造(Cr...
为什么token能够防止CSRF(修正版)
最新发布
lza20001103的博客
03-20 400
为什么token能够防止CSRF(修正版)
Flask表单的介绍与使用
weixin_42577686的博客
05-07 1178
表单操作 简介 表单的操作是Web程序开发中最核心的模块之一,绝大多数的动态交互功能都是通过表单的形式实现的。本文会教大家实现简单的表单操作。 普通表单提交 在创建模板login.html页面中直接写form表单。 login.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" cont
flask使用form表单示例
qq_39112101的博客
08-08 1444
在视图文件当中引入定义好的表单表单参考前文:https://blog.youkuaiyun.com/qq_39112101/article/details/98886016 第一次访问视图的时候,就把form表单中定义的内容返回给前台供前台使用,前台提交数据的时候使用request.form.get('form中定义的字段名')来接收参数。 @csrf.exempt #不受csrf影响 ...
flask form表单
kylinxjd的博客
07-04 1万+
flask没有集成的ORM模型,所以要安装第三方form表单的扩展包,当然不使用第三方的也可以。第三方包的功能更多。 一、安装扩展 pip install flask-wtf 二、创建一个form表单类 from flask_wtf import FlaskForm from wtforms import StringField, PasswordField, SubmitField from ...
报错:{‘csrf_token‘: [‘The CSRF token is missing.‘]}
m0_53291740的博客
01-22 555
flask实现一个简单的注册界面报错。来包含 CSRF 令牌。
Flask-WTF表单使用方法
09-19
### Flask-WTF表单使用方法 #### 一、简介 Flask-WTF 是一个针对 Flask 框架设计的表单处理库,它基于 WTForms,并为 Flask 提供了额外的功能,例如 CSRF 保护等。Flask-WTF 的主要用途在于简化表单创建过程中的...
Ajax 使用CSRF tokenFlask /Django交互
LUV_ly_1314的博客
09-03 410
跨站请求伪造也被称为one-click attack 或者 session riding,通常缩写为CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。目前主流的防御方法就是通过Token验证,另外如果前端对存在CSRF防御的服务进行请求,会出现”400 bad request“。在写程序时有时候会让忽略CSRF问题的人莫名其妙,我就是错了好几次(我以为是我的数据格式的问题),看到了浏览器Console才恍然大悟。
Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求
paul0926的博客
07-03 4915
Flask--CSRFToken保护什么是csrfcsrf具体过程csrf保护实现后端写保护表单提交添加保护自定义错误响应和关闭保护ajax提交 前文: 查看官方文档:http://www.pythondoc.com/flask-wtf/csrf.html#id4 什么是csrf 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包...
flask form表单flask form表单forms.py
04-28
flask form表单
Flask 系列之 FlaskForm
weixin_30443747的博客
03-30 207
通过使用 FlaskForm ,可以方便快捷的实现表单处理。 说明 操作系统:Windows 10 Python 版本:3.7x 虚拟环境管理器:virtualenv 代码编辑器:VS Code 实验目标 通过使用 flask_wtf 进行表单的相关操作,并完成新用户合法性注册。 安装 pip install flask_wtf 使用 首先,我们在 todolist 目录中创建...
基于form表单和ajax提交数据,csrftoken验证
m0_73399600的博客
11-13 879
pass。
Flaskcsrf_token的用法
Allen . Liu
09-23 2861
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token开启flask开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
django中写form表单csrf_token的作用
weixin_43226574的博客
01-11 779
csrf_token 是为了防止csrf(跨站请求伪造),什么是csrf,这篇文章讲的很好:这里。文章最后也说到了,防止csrf的手段就有给form加个token。 在渲染模板时,django会把 {% csrf_token %} 替换成一个&lt;input type=“hidden”, name=‘csrfmiddlewaretoken’ value=服务器随机生成的token&gt;元...
spring防止F5刷新提交重复表单,为form加入参数token
wen_ke的专栏
09-02 1308
直接上代码. 创建一个类:Form: package form; import java.io.Serializable; import java.util.Date; import org.apache.commons.lang.builder.ToStringBuilder; /** * 表单类 * * @author DigitalSonic */ p
Flask-web表单
qq_29286967的博客
07-07 669
Web表单Web 表单是 Web 应用程序的基本功能。它是HTML页面中负责数据采集的部件。表单有三个部分组成:表单标签表单域、表单按钮。表单允许用户输入数据,负责HTML页面数据采集,通过表单将用户输入的数据提交给服务器。在Flask中,为了处理web表单,我们可以使用 Flask-WTF 扩展,它封装了 WTForms,并且它有验证表单数据的功能WTForms支持的HTML标准字段字段对象说...
发现一款功能强大的 Python 组件 FlaskForm
Python+大数据+数据分析+自动化+Vue组件开发
03-04 2276
Part1:FlaskForm 是什么 说到 FlaskForm,首先得谈谈 WTForms 是什么。 WTForms 是一个 Flask 集成的框架,也可以说是库。用于处理浏览器表单提交的数据。 它在 Flask-WTF 的基础上扩展并添加了一些随手即得的精巧的帮助函数, 这些函数将会使在 Flask使用表单更加有趣。 Flask-WTF 是集成 WTForms,并带有 csrf 令牌的安全表单和全局的 csrf 保护的功能。 每次我们在建立表单所创建的类都是继承于 Flask_WTF 中的
WTF_CSRF_ENABLED=False object' has no attribute 'csrf_token'
05-25
这个错误通常出现在使用 Flask web 应用程序时,因为 Flask 默认启用 CSRF 保护,需要确保在构建表单添加 CSRF 令牌。如果你没有手动添加 CSRF 令牌,那么在提交表单时会出现 "WTF_CSRF_ENABLED=False object' has no attribute 'csrf_token'" 的错误。 要解决这个问题,你可以尝试以下几个步骤: 1. 在 Flask 的配置文件中启用 CSRF 保护,将 "WTF_CSRF_ENABLED" 设置为 True。 2. 在表单添加 CSRF 令牌,可以使用 Flask-WTF 提供的 "csrf_token" 函数来实现。例如: ``` <form method="POST"> {{ form.hidden_tag() }} <!-- 此处添加其他表单字段 --> <button type="submit">提交</button> </form> ``` 在这里,"form.hidden_tag()" 会自动生成一个包含 CSRF 令牌的隐藏字段。 3. 如果你使用的是 AJAX 或其他非表单提交方式,可以在请求头中添加 CSRF 令牌。例如: ``` <script> var csrftoken = '{{ csrf_token() }}'; $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': csrftoken } }); </script> ``` 在这里,"csrf_token()" 函数会生成一个 CSRF 令牌,并将其存储在变量 "csrftoken" 中,然后在请求头中添加 "X-CSRF-TOKEN" 字段,并将其值设置为 "csrftoken"。 希望这些方法可以帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孜孜孜孜不倦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值