怎么在Flask框架中實現(xiàn)CSRF 保護？針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

成都創(chuàng)新互聯(lián)專注于扎蘭屯企業(yè)網(wǎng)站建設,成都響應式網(wǎng)站建設公司,商城網(wǎng)站建設。扎蘭屯網(wǎng)站建設公司,為扎蘭屯等地區(qū)提供建站服務。全流程按需開發(fā)，專業(yè)設計，全程項目跟蹤，成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務

為什么需要 CSRF？

Flask-WTF 表單保護你免受 CSRF 威脅，你不需要有任何擔心。盡管如此，如果你有不包含表單的視圖，那么它們仍需要保護。

例如，由 AJAX 發(fā)送的 POST 請求，然而它背后并沒有表單。在 Flask-WTF 0.9.0 以前的版本你無法獲得 CSRF 令牌。這是為什么我們要實現(xiàn) CSRF。

具體操作步驟

根據(jù) csrf_token 校驗原理，具體操作步驟有以下幾步：
1.后端生成 csrf_token 的值，在前端請求登錄或者注冊界面的時候將值傳給前端，傳給前端的方式可能有以下兩種：
在模板中的 From 表單中添加隱藏字段
將 csrf_token 使用 cookie 的方式傳給前端
2.在前端發(fā)起請求時，在表單或者在請求頭中帶上指定的 csrf_token
3.后端在接受到請求之后，取到前端發(fā)送過來的 csrf_token，與第1步生成的 csrf_token 的值進行校驗
4.如果校驗對 csrf_token 一致，則代表是正常的請求，否則可能是偽造請求，不予通過

而在 Flask 中，CSRFProtect 這個類專門只對指定 app 進行 csrf_token 校驗操作，所以開發(fā)者需要做以下幾件事情：
生成 csrf_token 的值
將 csrf_token 的值傳給前端瀏覽器
在前端請求時帶上 csrf_token 值

實現(xiàn)

后端書寫

為了能夠讓所有的視圖函數(shù)受到 CSRF 保護，你需要開啟 CsrfProtect 模塊:

from flask_wtf.csrf import CsrfProtect
CsrfProtect(app)

像任何其它的 Flask 擴展一樣，你可以惰性加載它:

from flask_wtf.csrf import CsrfProtect
csrf = CsrfProtect()

def create_app():
  app = Flask(__name__)
  csrf.init_app(app)

Note
你需要為 CSRF 保護設置一個秘鑰。通常下，同 Flask 應用的 SECRET_KEY 是一樣的。

在表單添加保護

如果模板中存在表單，你不需要做任何事情。與之前一樣:

  {{ form.csrf_token }}

但是如果模板中沒有表單，你需要一個 CSRF 令牌:

自定義錯誤響應和關閉保護

無論何時未通過 CSRF 驗證，都會返回 400 響應。你可以自定義這個錯誤響應:

@csrf.error_handler
def csrf_error(reason):
  return render_template('csrf_error.html', reason=reason), 400

我們強烈建議你對所有視圖啟用 CSRF 保護。但也提供了某些視圖函數(shù)不需要保護的裝飾器:

@csrf.exempt
@app.route('/foo', methods=('GET', 'POST'))
def my_handler():
  # ...
  return 'ok'

默認情況下你也可以在所有的視圖中禁用 CSRF 保護，通過設置 WTF_CSRF_CHECK_DEFAULT 為 False，僅僅當你需要的時候選擇調用 csrf.protect()。這也能夠讓你在檢查 CSRF 令牌前做一些預先處理:

@app.before_request
def check_csrf():
  if not is_oauth(request):
    csrf.protect()

ajax提交數(shù)據(jù)

不需要表單，通過 AJAX 發(fā)送 POST 請求成為可能。Flask0.9.0 版本后這個功能變成可用的。

• 假設你已經使用了 CsrfProtect(app)，你可以通過 {{ csrf_token() }} 獲取 CSRF
   令牌。這個方法在每個模板中都可以使用，你并不需要擔心在沒有表單時如何渲染 CSRF 令牌字段。

我們推薦的方式是在 meta 標簽中渲染 CSRF 令牌:

在 script 標簽中渲染同樣可行:

  var csrftoken = "{{ csrf_token() }}"

下面的例子采用了在 meta標簽渲染的方式， 在 script 中渲染會更簡單，你無須擔心沒有相應的例子。

無論何時你發(fā)送 AJAX POST 請求，為其添加 X-CSRFToken 頭:

var csrftoken = $(‘meta[name=csrf-token]').attr(‘content')

KaTeX parse error: Expected '}', got 'EOF' at end of input: …|OPTIONS|TRACE)/i.test(settings.type) && !this.crossDomain) {
xhr.setRequestHeader(“X-CSRFToken”, csrftoken)
}
}
})

或者這么寫ajax：
在提交請求時，需要在請求頭中添加 X-CSRFToken 的鍵值對

$.ajax({
  ...
  headers: {
    "X-CSRFToken": getCookie("csrf_token")
  },
  ...
})

關于怎么在Flask框架中實現(xiàn)CSRF 保護問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注創(chuàng)新互聯(lián)成都網(wǎng)站設計公司行業(yè)資訊頻道了解更多相關知識。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

文章名稱：怎么在Flask框架中實現(xiàn)CSRF保護-創(chuàng)新互聯(lián)
URL網(wǎng)址：http://weahome.cn/article/dhicoc.html