一、介绍
二、代码
三、问题
一、介绍
CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。
为了能够让所有的视图受到CSRF保护,需要扩展 CsrfProtect模块
flask_wtf 里面有该模块
二、代码
1.引入方式
1.1 直接引入
from flask_wtf.csrf import CsrfProtect CsrfProtect(app)
1.2 创建后引入
from flask_wtf.csrf import CsrfProtect csrf = CsrfProtect() def create_app(): app = Flask(__name__) csrf.init_app(app)
2 生成
2.2 token生成方式
from flask_wtf.csrf import generate_csrf # 调用函数生成 csrf_token csrf_token = generate_csrf()
3 使用
3.1 如果使用的是flask模板渲染,可以直接在模板表单里添加
<form method="post" action="/"> <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" /> </form>
3.2 如果使用前后端分离,就需要在请求后带入cookie
def create_app(config_name): app = Flask(__name__) #请求钩子 @app.after_request def after_request(response): # 调用函数生成 csrf_token csrf_token = generate_csrf() # 通过 cookie 将值传给前端 response.set_cookie("csrf_token", csrf_token) return response
然后在前端请求时携带上
$.ajax({ url:"/test", type: "post", headers: { "X-CSRFToken": getCookie("csrf_token") }, data: JSON.stringify(params), contentType: "application/json", success: function (res) { console.log(res) } }) // 自定义 getCookie 函数来拿到cookie中的 csrf_token 值 可以使用自己的方式 function getCookie(name) { var r = document.cookie.match("\\b" + name + "=([^;]*)\\b"); return r ? r[1] : undefined;}
4. 不验证接口 添加装饰器就好了@csrf.exempt
@csrf.exempt @auth.route('/test', methods=['POST']) def login(): return "不验证token"
三、问题