Flask中请求体的请求开启CSRF保护可以按以下配置

  from flask_wtf.csrf import CSRFProtect

  app.config.from_object(Config)

  CSRFProtect(app)

但CSRFProtect只做验证工作,cookie中的 csrf_token 和表单中的 csrf_token 需要按以下方式实现

理清思路

根据 csrf_token 校验原理,具体操作步骤有以下几步:

  1. 后端生成 csrf_token 的值,在前端请求登录或者注册界面的时候将值传给前端,传给前端的方式可能有以下两种:

    • 在模板中的 From 表单中添加隐藏字段
    • 将 csrf_token 使用 cookie 的方式传给前端
  2. 在前端发起请求时,在表单或者在请求头中带上指定的 csrf_token
  3. 后端在接受到请求之后,取到前端发送过来的 csrf_token,与第1步生成的 csrf_token 的值进行校验
  4. 如果校验对 csrf_token 一致,则代表是正常的请求,否则可能是伪造请求,不予通过

而在 Flask 中,CSRFProtect 这个类专门只对指定 app 进行 csrf_token 校验操作,所以开发者需要做以下几件事情:

  • 生成 csrf_token 的值
  • 将 csrf_token 的值传给前端浏览器
  • 在前端请求时带上 csrf_token 值

完成代码逻辑

  • 生成 csrf_token 的值
  # 导入生成 csrf_token 值的函数
  from flask_wtf.csrf import generate_csrf
  # 调用函数生成 csrf_token
  csrf_token = generate_csrf()
  • 将 csrf_token 的值传给前端浏览器

    • 实现思路:可以在请求勾子函数中完成此逻辑
  @app.after_request
  def after_request(response):
  # 调用函数生成 csrf_token
  csrf_token = generate_csrf()
  # 通过 cookie 将值传给前端
  response.set_cookie("csrf_token", csrf_token)
  return response
  • 在前端请求时带上 csrf_token 值

    • 根据登录和注册的业务逻辑,当前采用的是 ajax 请求
    • 所以在提交登录或者注册请求时,需要在请求头中添加 X-CSRFToken 的键值对
  $.ajax({
  url:"/passport/register",
  type: "post",
  headers: {
  "X-CSRFToken": getCookie("csrf_token")
  },
  data: JSON.stringify(params),
  contentType: "application/json",
  success: function (resp) {
  if (resp.errno == "0"){
  // 刷新当前界面
  location.reload()
  }else {
  $("#register-password-err").html(resp.errmsg)
  $("#register-password-err").show()
  }
  }
  })
 
05-22 12:34
查看更多