一:安装 flask_wtf

pip install flask_wtf

二:设置应用程序的 secret_key,用于加密生成的 csrf_token 的值

# session加密的时候已经配置过了.如果没有在配置项中设置,则如下:

app.secret_key = "#此处可以写随机字符串#"

三:导入 flask_wtf.csrf 中的 CSRFProtect 类,进行初始化,并在初始化的时候关联 app

from flask.ext.wtf import CSRFProtect
CSRFProtect(app)

四:在表单中使用 CSRF 令牌:

<form method="post" action="/">

    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />

</form>

五:scrf的过程理解

代码显示方法不被允许的代码

#manage.py

  

from flask import Flask, render_template, request, g

from settings.dev import DevConfig

from flask.ext.wtf import CSRFProtect

app = Flask(__name__, template_folder="templates", static_folder="static")

app.config.from_object(DevConfig)

CSRFProtect(app)

# @app.route("/csrf_test", methods=["get", "post"])

@app.route("/csrf_test")

def index():

    if request.method == "GET":

        return render_template("form.html")

    else:

        print(request.form)

        return "ok"

if __name__ == "__main__":

    app.run()

templates下的form.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>csrf案例</title>

</head>

<body>

    <form action="" method="post">

        账号:<input type="text" name="username"><br><br>

        密码:<input type="password" name="password"><br><br>

        <input type="submit" value="提交">

    </form>

</body>

</html>

运行后显示的结果是:

然后修改manage.py中的代码,添加

@app.route("/csrf_test", methods=["get", "post"])

代码如下:

from flask import Flask, render_template, request, g

from settings.dev import DevConfig

from flask.ext.wtf import CSRFProtect

app = Flask(__name__, template_folder="templates", static_folder="static")

app.config.from_object(DevConfig)

CSRFProtect(app)

@app.route("/csrf_test", methods=["get", "post"])

def index():

    if request.method == "GET":

        return render_template("form.html")

    else:

        print(request.form)

        return "ok"

if __name__ == "__main__":

    app.run()

再次执行:并且提交:

说明需要在html文档中添加:csrf_token

<input type="hidden" name="csrf_token" value="{{csrf_token()}}">

修改后的代码是:

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>csrf案例</title>

</head>

<body>

    <form action="" method="post">

        <input type="hidden" name="csrf_token" value="{{csrf_token()}}">

        账号:<input type="text" name="username"><br><br>

        密码:<input type="password" name="password"><br><br>

        <input type="submit" value="提交">

    </form>

</body>

</html>

运行后的结果显示:

flask总结05(在 Flask 项目中解决 CSRF 攻击)的更多相关文章

  1. 在 Flask 项目中解决 CSRF 攻击

    #转载请留言联系 1. CSRF是什么? CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造. CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求.包括:以你名义 ...

  2. day94:flask:Jinjia2模板引擎&flask中的CSRF攻击&Flask-SQLAlchemy的创建模型类和基本的增删改查

    目录 1.Jinjia2模板引擎 1.Jinjia2加载模板并传递数据到模板中 2.Jinjia2的模板语句 3.模板中特有的变量和函数 4.模板中内置的过滤器 5.自定义过滤器 6.模板继承 2.在 ...

  3. 转 mvc项目中,解决引用jquery文件后智能提示失效的办法

    mvc项目中,解决用Url.Content方法引用jquery文件后智能提示失效的办法   这个标题不知道要怎么写才好, 但是希望文章的内容对大家有帮助. 场景如下: 我们在用开发开发程序的时候,经常 ...

  4. Spring MVC中防止csrf攻击

    Spring MVC中防止csrf攻击的拦截器示例 https://blog.csdn.net/qq_40754259/article/details/80510088 Spring MVC中的CSR ...

  5. 在maven项目中解决第三方jar包依赖的问题

    在maven项目中,对于那些在maven仓库中不存在的第三方jar,依赖解决通常有如下解决方法: 方法1:直接将jar包拷贝到项目指定目录下,然后在pom文件中指定依赖类型为system,如: < ...

  6. WPF项目中解决ConfigurationManager不能用(转)

    https://blog.csdn.net/MOESECSDN/article/details/78107888 在WPF项目中遇到这样的问题,做一下笔记.希望对自己和读者都有帮助. 在aap.con ...

  7. web项目中解决post乱码和get乱码的方法

    前提复习编码问题产生的原因: 1.  什么是URL编码. URL编码是一种浏览器用来打包表单输入的格式,浏览器从表单中获取所有的name和其对应的value,将他们以name/value编码方式作为U ...

  8. 项目中解决实际问题的代码片段-javascript方法,Vue方法(长期更新)

    总结项目用到的一些处理方法,用来解决数据处理的一些实际问题,所有方法都可以放在一个公共工具方法里面,实现不限ES5,ES6还有些Vue处理的方法. 都是项目中来的,有代码跟图片展示,长期更新. 1.获 ...

  9. 我是如何在实际项目中解决MySQL性能问题

    可能是本性不愿随众的原因,我对于程序员面试中动辄就是考察并发上千万级别的QPS向来嗤之以鼻,好像国内的应用都是那么多用户量一样,其实并发达到千万,百万以上的应用能有几个? 绝大多数的程序员面临的只是解 ...

随机推荐

  1. java Web jsp嵌入代码的三种方式

    1,表达式标签  <%= 2+3%> 唯一有显示功能的标签 作用: 计算表达式的返回值 将表达式的返回值显示到网页中. 注意: 表达式中不能有分号 2,普通脚本标签  <% %> ...

  2. 非root配置linux下vim

    在机子目录下建立 .vim文件夹 例如 /home/xxx/.vim 在~文件夹下建立.vimrc文件 这是你自己配置文件 vim虽然启用了格式化高亮.行号显示,以及括号匹配.自动缩进等编辑功能,对于 ...

  3. PHP 5.5环境配置

    php5.5 + apache2.4 安装配置 1 2 3 4 5 6 7 分步阅读 php5.5 做了大量的更新,在与apache搭配的时候如何选择也很有讲究,这里我们以64位 php5.6 和 A ...

  4. 基于PCL的屏幕选点、框选点云、单点选取

    1. 单点选取 #include <pcl/io/pcd_io.h> #include <pcl/point_cloud.h> #include <pcl/point_t ...

  5. 性能优化之_android内存

    优化内存使用主要是三个原则: CPU如何操纵特定的数据类型 数据和指令需要占用多少存储空间 数据在内存中的布局方式 处理大量数据时,使用可以满足要求的最小字节数据类型,能用short就不用int,能用 ...

  6. mysql sandbox的问题备忘

    工具很好用,但是安装运行时有些小问题: 1.启动数据库时提示--bootstrap已禁用:那是mysql5.7以后废弃了此参数,改用--initialize来初始化了,而一般公共仓库里的sandbox ...

  7. wordpress中add_action和add_filter

    add_action( string $tag, callable $function_to_add, int $priority = 10,int $accepted_args = 1 ) 官网是这 ...

  8. Linux下面rpm命令和mount命令详解

    在Linux下面我们经常会安装一些软件包,还有挂载命令.接下来,我们通过一些实例来演示这些命令的使用.. 第一步:我们先在linux下面挂载光盘,先进入到根目录,然后切换到根下面的/mnt目录,因为/ ...

  9. Reading Text-based Files In ASP.NET

    Friday, July 17, 2015 1:43 PM Every time I need to work with the contents of text-based files in an ...

  10. properties配置文件在idea中默认utf-8编码可能会乱码的解决

    使用idea集成开发环境时,有时在properties配置文件有中文,在线上拿到的时乱码,如何解决? 这样设置: 最后说一下,setting设置是对当前项目的,想要所有的项目都有相同的设置,需要在 中 ...