什么是CSRF?
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。
CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......
造成的问题:个人隐私泄露以及财产安全。
CSRF攻击示意图
1414690-20181013093202436-981826488.png
在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单
pip install flask_wtf
- 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值
# session加密的时候已经配置过了.如果没有在配置项中设置,则如下:
app.secret_key = "#此处可以写随机字符串#"
- 导入 flask_wtf.csrf 中的 CSRFProtect 类,进行初始化,并在初始化的时候关联 app
from flask_wtf import CSRFProtect
CSRFProtect(app)
- 在表单中使用 CSRF 令牌:
<form method="post" action="/">
<input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>
小栗子:
from flask import Flask
from flask import render_template
from flask_wtf import CSRFProtect #不同版本的flask包不同,注意一下
app = Flask(__name__)
app.secret_key = "436fs3424123+=)%$$#l54,5" # 随便写
# 让当前flask应用激活csrf防范机制
CSRFProtect(app)
@app.route('/')
def index():
return render_template('transfer.html')
if __name__ == '__main__':
app.run(debug=True, port=8000)
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="">
<input type="hidden" name="csrf_token" value="{{csrf_token()}}"> <--这一句隐藏的input标签中的csrf_token()在提交时被携带到后端-->
</form>
</body>
</html>
网友评论