Flask-WTF中的csrf保護

CSRF 保護

這部分文檔介紹了 CSRF 保護。

爲何須要 CSRF？

 

Flask-WTF 表單保護你免受 CSRF 威脅，你不須要有任何擔憂。儘管如此，若是你有不包含表單的視圖，那麼它們仍須要保護。

例如，由 AJAX 發送的 POST 請求，然而它背後並無表單。在 Flask-WTF 0.9.0 之前的版本你沒法得到 CSRF 令牌。這是爲何咱們要實現 CSRF。

實現

爲了可以讓全部的視圖函數受到 CSRF 保護，你須要開啓 CsrfProtect 模塊:

from flask_wtf.csrf import CsrfProtect

CsrfProtect(app)

 

像任何其它的 Flask 擴展同樣，你能夠惰性加載它:

from flask_wtf.csrf import CsrfProtect

csrf = CsrfProtect()

def create_app():
    app = Flask(__name__)
    csrf.init_app(app)

 

Note

你須要爲 CSRF 保護設置一個祕鑰。一般下，同 Flask 應用的 SECRET_KEY 是同樣的。

若是模板中存在表單，你不須要作任何事情。與以前同樣:

<form method="post" action="/">
    {{ form.csrf_token }}
</form>

 

可是若是模板中沒有表單，你仍然須要一個 CSRF 令牌:

<form method="post" action="/">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

 

不管什麼時候未經過 CSRF 驗證，都會返回 400 響應。你能夠自定義這個錯誤響應:

@csrf.error_handler
def csrf_error(reason):
    return render_template('csrf_error.html', reason=reason), 400

 

咱們強烈建議你對全部視圖啓用 CSRF 保護。但也提供了某些視圖函數不須要保護的裝飾器:

@csrf.exempt
@app.route('/foo', methods=('GET', 'POST'))
def my_handler():
    # ...
    return 'ok'

 

默認狀況下你也能夠在全部的視圖中禁用 CSRF 保護，經過設置 WTF_CSRF_CHECK_DEFAULT 爲 False，僅僅當你須要的時候選擇調用 csrf.protect()。這也可以讓你在檢查 CSRF 令牌前作一些預先處理:

@app.before_request
def check_csrf():
    if not is_oauth(request):
        csrf.protect()

 

AJAX

不須要表單，經過 AJAX 發送 POST 請求成爲可能。0.9.0 版本後這個功能變成可用的。

假設你已經使用了 CsrfProtect(app)，你能夠經過 {{ csrf_token() }} 獲取 CSRF 令牌。這個方法在每一個模板中均可以使用，你並不須要擔憂在沒有表單時如何渲染 CSRF 令牌字段。

咱們推薦的方式是在 <meta> 標籤中渲染 CSRF 令牌:

<meta name="csrf-token" content="{{ csrf_token() }}">

 

在 <script> 標籤中渲染一樣可行:

<script type="text/javascript">
    var csrftoken = "{{ csrf_token() }}"
</script>

 

下面的例子採用了在 <meta> 標籤渲染的方式， 在 <script> 中渲染會更簡單，你無須擔憂沒有相應的例子。

不管什麼時候你發送 AJAX POST 請求，爲其添加 X-CSRFToken 頭:

var csrftoken = $('meta[name=csrf-token]').attr('content')

$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken)
        }
    }
})

 

故障排除

當你定義你的表單的時候，若是犯了 `這個錯誤`_ : 從 wtforms 中導入 Form 而不是從 flask.ext.wtf 中導入，CSRF 保護的大部分功能都能工做(除了 form.validate_on_submit())，可是 CSRF 保護將會發生異常。在提交表單的時候，你將會獲得 Bad Request/CSRF token missing or incorrect 錯誤。這個錯誤的出現就是由於你的導入錯誤，而不是你的配置問題。