flask csrf保护的使用技巧

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。 ——百度百科

网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题，很好理解。

flask 作为一个强带的web微框架，自然也是支持防范csrf攻击的。

通过Flask-WTF来保护表单免受CSRF攻击
何为Flask-WTF
简单说来，使用它可以方便我们构建表单和验证表单，具体用法这里不做赘述

怎么开启保护？
极少的配置，一个应用令牌：

1
2
3
4
5
6
7
8
app.config['SECRET_KEY'] = 'you can't know' 或csrf专用令牌 app.config['WTF_CSRF_SECRET_KEY'] = 'IT 666 to 709 kill pic'

1 2 3

Flask-WTF默认是开启CSRF保护的，你需要的做的是在你的模板中表单一栏加入：

1
2
3
4
5
6
7
8
9
10
{{ form.csrf_token }}
或者

1 2 3

这样，csrf保护已经开启。如若你没有上面的代码，提交表单会无法通过form.validate_on_submit(),错误为{'csrf_token': ['The CSRF token is missing.']},但这并不会导致http错误，仅是无法通过验证。

关闭保护
自然，我们很可能有的表单不需要保护，那么，以下三种：

全局禁用：app.config中设置WTF_CSRF_ENABLED = False
单个表单禁用：生成表单时加入参数form = Form(csrf_enabled=False)
不使用Flask-WTF…啊啊，这个很好理解

flask 内置的保护机制
有些时候，我根本就用不到Flask-WTF,那么我可以使用flask自身提供的保护机制。

开启保护
要开启csrf攻击保护，需要一下几个步骤。

1
2
3
4
5
6
7
8
9
10
11
12
from flask_wtf.csrf import CSRFProtect

app.config['SECRET_KEY'] = 'you never guess'
CSRFProtect(app)

1 2 3 4

主要为：导入方法，设置密钥，进行保护。 这时候对于一个普通的form，如果你没有

1
2
3
4
5
6

1

flask会抛出http错误。

临时关闭保护
那么，如何临时关闭csrf保护呢。
上面的代码做修改：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
去掉 CSRFProtect(app)
改为 csrf = CSRFProtect()

if name == 'main':中加入
csrf.init_app(app)

在不需要保护的路由上当加上:
@csrf.exempt

1 2 3 4 5 6 7 8

如此，临时关闭了csrf。

参考：

---

原文来源：
https://blog.nowcoder.net/n/e87a4b4980d540aabd2e0909bf1d66c9?from=nowcoder_improve