Flask-WTF 之防止CSRF***學習記錄

CSRF 保護

這部分文檔介紹了 CSRF 保護。

爲什麼需要 CSRF？

Flask-WTF 表單保護你免受 CSRF 威脅，你不需要有任何擔心。儘管如此，如果你有不包含表單的視圖，那麼它們仍需要保護。

例如，由 AJAX 發送的 POST 請求，然而它背後並沒有表單。在 Flask-WTF 0.9.0 以前的版本你無法獲得 CSRF 令牌。這是爲什麼我們要實現 CSRF。

實現

爲了能夠讓所有的視圖函數受到 CSRF 保護，你需要開啓 CsrfProtect 模塊:

from flask_wtf.csrf import CsrfProtectCsrfProtect(app)

像任何其它的 Flask 擴展一樣，你可以惰性加載它:

from flask_wtf.csrf import CsrfProtectcsrf = CsrfProtect()def create_app():
    app = Flask(__name__)
    csrf.init_app(app)

Note

你需要爲 CSRF 保護設置一個祕鑰。通常下，同 Flask 應用的 SECRET_KEY 是一樣的。

如果模板中存在表單，你不需要做任何事情。與之前一樣:

<form method="post" action="/">
    {{ form.csrf_token }}</form>

但是如果模板中沒有表單，你仍然需要一個 CSRF 令牌:

<form method="post" action="/">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" /></form>

無論何時未通過 CSRF 驗證，都會返回 400 響應。你可以自定義這個錯誤響應:

@csrf.error_handlerdef csrf_error(reason):
    return render_template('csrf_error.html', reason=reason), 400

我們強烈建議你對所有視圖啓用 CSRF 保護。但也提供了某些視圖函數不需要保護的裝飾器:

@[email protected]('/foo', methods=('GET', 'POST'))def my_handler():
    # ...
    return 'ok'

默認情況下你也可以在所有的視圖中禁用 CSRF 保護，通過設置 WTF_CSRF_CHECK_DEFAULT 爲 False，僅僅當你需要的時候選擇調用 csrf.protect()。這也能夠讓你在檢查 CSRF 令牌前做一些預先處理:

@app.before_requestdef check_csrf():
    if not is_oauth(request):
        csrf.protect()

AJAX

不需要表單，通過 AJAX 發送 POST 請求成爲可能。0.9.0 版本後這個功能變成可用的。

假設你已經使用了 CsrfProtect(app)，你可以通過 {{ csrf_token() }} 獲取 CSRF 令牌。這個方法在每個模板中都可以使用，你並不需要擔心在沒有表單時如何渲染 CSRF 令牌字段。

我們推薦的方式是在 <meta> 標籤中渲染 CSRF 令牌:

<meta name="csrf-token" content="{{ csrf_token() }}">

在 <script> 標籤中渲染同樣可行:

<script type="text/javascript">
    var csrftoken = "{{ csrf_token() }}"</script>

下面的例子採用了在 <meta> 標籤渲染的方式， 在 <script> 中渲染會更簡單，你無須擔心沒有相應的例子。

無論何時你發送 AJAX POST 請求，爲其添加 X-CSRFToken 頭:

var csrftoken = $('meta[name=csrf-token]').attr('content')$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken)
        }
    }})

故障排除

當你定義你的表單的時候，如果犯了 `這個錯誤`_ : 從 wtforms 中導入 Form 而不是從 flask.ext.wtf 中導入，CSRF 保護的大部分功能都能工作(除了 form.validate_on_submit())，但是 CSRF 保護將會發生異常。在提交表單的時候，你將會得到 Bad Request/CSRF token missing or incorrect 錯誤。這個錯誤的出現就是因爲你的導入錯誤，而不是你的配置問題。

來自：http://flask-wtf.readthedocs.io/en/latest/csrf.html