CSRF 保護
這部分文檔介紹了 CSRF 保護。
爲什麼需要 CSRF?
Flask-WTF 表單保護你免受 CSRF 威脅,你不需要有任何擔心。儘管如此,如果你有不包含表單的視圖,那麼它們仍需要保護。
例如,由 AJAX 發送的 POST 請求,然而它背後並沒有表單。在 Flask-WTF 0.9.0 以前的版本你無法獲得 CSRF 令牌。這是爲什麼我們要實現 CSRF。
實現
爲了能夠讓所有的視圖函數受到 CSRF 保護,你需要開啓 CsrfProtect
模塊:
from flask_wtf.csrf import CsrfProtectCsrfProtect(app)
像任何其它的 Flask 擴展一樣,你可以惰性加載它:
from flask_wtf.csrf import CsrfProtectcsrf = CsrfProtect()def create_app(): app = Flask(__name__) csrf.init_app(app)
Note
你需要爲 CSRF 保護設置一個祕鑰。通常下,同 Flask 應用的 SECRET_KEY 是一樣的。
如果模板中存在表單,你不需要做任何事情。與之前一樣:
<form method="post" action="/"> {{ form.csrf_token }}</form>
但是如果模板中沒有表單,你仍然需要一個 CSRF 令牌:
<form method="post" action="/"> <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" /></form>
無論何時未通過 CSRF 驗證,都會返回 400 響應。你可以自定義這個錯誤響應:
@csrf.error_handlerdef csrf_error(reason): return render_template('csrf_error.html', reason=reason), 400
我們強烈建議你對所有視圖啓用 CSRF 保護。但也提供了某些視圖函數不需要保護的裝飾器:
@[email protected]('/foo', methods=('GET', 'POST'))def my_handler(): # ... return 'ok'
默認情況下你也可以在所有的視圖中禁用 CSRF 保護,通過設置 WTF_CSRF_CHECK_DEFAULT
爲 False
,僅僅當你需要的時候選擇調用 csrf.protect()
。這也能夠讓你在檢查 CSRF 令牌前做一些預先處理:
@app.before_requestdef check_csrf(): if not is_oauth(request): csrf.protect()
AJAX
不需要表單,通過 AJAX 發送 POST 請求成爲可能。0.9.0 版本後這個功能變成可用的。
假設你已經使用了 CsrfProtect(app)
,你可以通過 {{ csrf_token() }}
獲取 CSRF 令牌。這個方法在每個模板中都可以使用,你並不需要擔心在沒有表單時如何渲染 CSRF 令牌字段。
我們推薦的方式是在 <meta>
標籤中渲染 CSRF 令牌:
<meta name="csrf-token" content="{{ csrf_token() }}">
在 <script>
標籤中渲染同樣可行:
<script type="text/javascript"> var csrftoken = "{{ csrf_token() }}"</script>
下面的例子採用了在 <meta>
標籤渲染的方式, 在 <script>
中渲染會更簡單,你無須擔心沒有相應的例子。
無論何時你發送 AJAX POST 請求,爲其添加 X-CSRFToken
頭:
var csrftoken = $('meta[name=csrf-token]').attr('content')$.ajaxSetup({ beforeSend: function(xhr, settings) { if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken) } }})
故障排除
當你定義你的表單的時候,如果犯了 `這個錯誤`_ : 從 wtforms
中導入 Form
而不是從 flask.ext.wtf
中導入,CSRF 保護的大部分功能都能工作(除了 form.validate_on_submit()
),但是 CSRF 保護將會發生異常。在提交表單的時候,你將會得到 Bad Request
/CSRF token missing or incorrect
錯誤。這個錯誤的出現就是因爲你的導入錯誤,而不是你的配置問題。
來自:http://flask-wtf.readthedocs.io/en/latest/csrf.html