csrf原理及flask的處理方法

csrf原理及flask的處理方法

爲何須要CSRF？

Flask-WTF 表單保護你免受 CSRF 威脅，你不須要有任何擔憂。儘管如此，若是你有不包含表單的視圖，那麼它們仍須要保護。

例如，由 AJAX 發送的 POST 請求，然而它背後並無表單。在 Flask-WTF 0.9.0 之前的版本你沒法得到 CSRF 令牌。這是爲何咱們要實現 CSRF。

CSRF攻擊的原理:

        ①用戶正常登陸A銀行網站,

        ②A網站返回cookie信息給用戶,瀏覽器保存cookie信息

        ③在A網站沒有退出登陸的狀況下(或者說cookie信息沒過時), 登陸了惡意網站B

        ④惡意網站B,提早準備好轉帳表單或者其它請求 ,將其隱藏. 把提交到A網站的按鈕設置爲一個"領取優惠券"的圖片連接.用戶 點擊連接

        ⑤在用戶主觀未知的狀況下,訪問A網站,此時瀏覽器會自動攜帶cookie信息

        ⑥A網站識別到cookie信息,默認爲是用戶本人作出的請求,根據請求作出相應的操做.

        ⑦用戶收到損失.

具體操做步驟：

根據 csrf_token 校驗原理，具體操做步驟有如下幾步：
1.後端生成 csrf_token 的值，在前端請求登陸或者註冊界面的時候將值傳給前端，傳給前端的方式可能有如下兩種：
在模板中的 From 表單中添加隱藏字段
將 csrf_token 使用 cookie 的方式傳給前端
2.在前端發起請求時，在表單或者在請求頭中帶上指定的 csrf_token
3.後端在接受到請求以後，取到前端發送過來的 csrf_token，與第1步生成的 csrf_token 的值進行校驗
4.若是校驗對 csrf_token 一致，則表明是正常的請求，不然多是僞造請求，不予經過

而在 Flask 中，CSRFProtect 這個類專門只對指定 app 進行 csrf_token 校驗操做，因此開發者須要作如下幾件事情：
生成 csrf_token 的值
將 csrf_token 的值傳給前端瀏覽器
在前端請求時帶上 csrf_token 值

而後實現

處理方法：

後端書寫：

爲了可以讓全部的視圖函數受到 CSRF 保護，須要開啓 CsrfProtect 模塊:

from flask_wtf.csrf import CsrfProtect
CsrfProtect(app)

像任何其它的 Flask 擴展同樣，你能夠惰性加載它:

from flask_wtf.csrf import CsrfProtect
csrf = CsrfProtect()
 
def create_app():
  app = Flask(__name__)
  csrf.init_app(app)

 

Note
須要爲 CSRF 保護設置一個祕鑰。一般下，同 Flask 應用的 SECRET_KEY 是同樣的。

在表單添加保護操做：

若是模板中存在表單，不須要作任何事情。與以前同樣:

<form method="post" action="/">
  {{ form.csrf_token }}
</form>

可是若是模板中沒有表單，就須要一個 CSRF 令牌:

<form method="post" action="/">
  <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

自定義錯誤相應和關閉保護：

不管什麼時候未經過 CSRF 驗證，都會返回 400 響應。能夠自定義這個錯誤響應:

@csrf.error_handler
def csrf_error(reason):
  return render_template('csrf_error.html', reason=reason), 400

建議對全部視圖啓用 CSRF 保護。也提供了某些視圖函數不須要保護的裝飾器:

@csrf.exempt
@app.route('/foo', methods=('GET', 'POST'))
def my_handler():
  # ...
  return 'ok'

默認狀況下也能夠在全部的視圖中禁用 CSRF 保護，經過設置 WTF_CSRF_CHECK_DEFAULT 爲 False，僅僅當須要的時候選擇調用 csrf.protect()。這也可以在檢查 CSRF 令牌前作一些預先處理:

@app.before_request
def check_csrf():
  if not is_oauth(request):
    csrf.protect()

Ajax提交數據：

在 meta 標籤中渲染 CSRF 令牌:

<meta name="csrf-token" content="{{ csrf_token() }}">

在 script 標籤中渲染一樣可行:

<script type="text/javascript">
  var csrftoken = "{{ csrf_token() }}"
</script>

下面的例子採用了在 meta標籤渲染的方式， 在 script 中渲染會更簡單，無須擔憂沒有相應的例子。

不管什麼時候，發送 AJAX POST 請求，爲其添加 X-CSRFToken 頭:

var csrftoken = $(‘meta[name=csrf-token]').attr(‘content')
 
KaTeX parse error: Expected '}', got 'EOF' at end of input: …|OPTIONS|TRACE)/i.test(settings.type) && !this.crossDomain) {
xhr.setRequestHeader(「X-CSRFToken」, csrftoken)
}
}
})

或者這麼寫ajax：
在提交請求時，須要在請求頭中添加 X-CSRFToken 的鍵值對：

$.ajax({
  ...
  headers: {
    "X-CSRFToken": getCookie("csrf_token")
  },
  ...
})