Flask 專案中解決csrf攻擊

於 兔シ 發表於 2020-11-22

首先裝個庫吧,命令如下:

pip install flask_wtf

在 Flask 中, Flask-wtf 擴充套件有一套完善的 csrf 防護體系,對於我們開發者來說,使用起來非常簡單

  1. 設定應用程式的 secret_key,用於加密生成的 csrf_token 的值
# 1. session加密的時候已經配置過了.如果沒有在配置項中設定,則如下:
app.secret_key = "#此處可以寫隨機字串#"

# 2. 也可以寫在配置類中。
class Config(object):
    DEBUG = True
    SECRET_KEY = "dsad32DASSLD*13%^32"
    
"""載入配置"""
app.config.from_object(Config)
  1. 匯入 flask_wtf.csrf 中的 CSRFProtect 類,進行初始化,並在初始化的時候關聯 app
from flask.ext.wtf import CSRFProtect
CSRFProtect(app)
  1. 在表單中使用 CSRF 令牌:
<form method="post" action="/">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

檢視程式碼:

from flask import Flask, render_template, request
from flask_wtf import CSRFProtect

app = Flask(__name__, template_folder='templates')
csrf = CSRFProtect(app)
app.config["SECRET_KEY"] = '223223qwq'


@app.route('/')
def index():
    data = {}
    return render_template('index5.html', **data)


@app.route('/login', methods=["POST"])
def login():
    print(request.form)
    # ImmutableMultiDict([('csrf_token', 'IjcwYWE0YjU3MmY5OWU4MzczNTM2MWJiNjc4NTQ0NjE4MTA2MzliMjAi.X7pChg.dH_NdAfCArZLJSPL8RMrJGc2Lqs'), ('username', ''), ('password', '')])
    return 'ok'


if __name__ == '__main__':
    app.run(debug=True)

模板程式碼:

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
</head>
<body>
    <form action="{{ url_for('login') }}" method="post">
        <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" >
        賬號: <input type="text" name="username" value=""><br><br>
        密碼: <input type="password" name="password" value=""><br><br>
        <input type="submit" value="登入">
    </form>
</body>
</html>