CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 ——百度百科
网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题,很好理解。
flask 作为一个强带的web微框架,自然也是支持防范csrf攻击的。
通过Flask-WTF来保护表单免受CSRF攻击
何为Flask-WTF
简单说来,使用它可以方便我们构建表单和验证表单,具体用法这里不做赘述
怎么开启保护?
极少的配置,一个应用令牌:
app.config['SECRET_KEY'] = 'you can't know'
或csrf专用令牌
app.config['WTF_CSRF_SECRET_KEY'] = 'IT 666 to 709 kill pic'
Flask-WTF默认是开启CSRF保护的,你需要的做的是在你的模板中表单一栏加入:
{{ form.csrf_token }}
或者
{{ form.hidden_tag() }}
这样,csrf保护已经开启。如若你没有上面的代码,提交表单会无法通过form.validate_on_submit()
,错误为{'csrf_token': ['The CSRF token is missing.']}
,但这并不会导致http错误,仅是无法通过验证。
关闭保护
自然,我们很可能有的表单不需要保护,那么,以下三种:
- 全局禁用:app.config中设置
WTF_CSRF_ENABLED = False
- 单个表单禁用:生成表单时加入参数
form = Form(csrf_enabled=False)
- 不使用Flask-WTF…啊啊,这个很好理解
flask 内置的保护机制
有些时候,我根本就用不到Flask-WTF,那么我可以使用flask自身提供的保护机制。
开启保护
要开启csrf攻击保护,需要一下几个步骤。
from flask_wtf.csrf import CSRFProtect
app.config['SECRET_KEY'] = 'you never guess'
CSRFProtect(app)
主要为:导入方法,设置密钥,进行保护。
这时候对于一个普通的form,如果你没有
<input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
flask会抛出http错误。
临时关闭保护
那么,如何临时关闭csrf保护呢。
上面的代码做修改:
去掉 CSRFProtect(app)
改为 csrf = CSRFProtect()
if __name__ == '__main__':中加入
csrf.init_app(app)
在不需要保护的路由上当加上:
@csrf.exempt
如此,临时关闭了csrf。