这部分文档介绍了 CSRF 保护。
Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。
例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。
为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect
模块:
from flask_wtf.csrf import CsrfProtect CsrfProtect(app)
像任何其它的 Flask 扩展一样,你可以惰性加载它:
from flask_wtf.csrf import CsrfProtect csrf = CsrfProtect() def create_app(): app = Flask(__name__) csrf.init_app(app)
Note
你需要为 CSRF 保护设置一个秘钥。通常下,同 Flask 应用的 SECRET_KEY 是一样的。
如果模板中存在表单,你不需要做任何事情。与之前一样:
<form method="post" action="/"> { { form.csrf_token }} </form>
但是如果模板中没有表单,你仍然需要一个 CSRF 令牌:
<form method="post" action="/"> <input type="hidden" name="csrf_token" value="{ { csrf_token() }}" /> </form>
无论何时未通过 CSRF 验证,都会返回 400 响应。你可以自定义这个错误响应:
@csrf.error_handler def csrf_error(reason): return render_template('csrf_error.html', reason=reason), 400
我们强烈建议你对所有视图启用 CSRF 保护。但也提供了某些视图函数不需要保护的装饰器:
@csrf.exempt @app.route('/foo', methods=('GET', 'POST')) def my_handler(): # ... return 'ok'
默认情况下你也可以在所有的视图中禁用 CSRF 保护,通过设置 WTF_CSRF_CHECK_DEFAULT
为 False
,仅仅当你需要的时候选择调用 csrf.protect()
。这也能够让你在检查 CSRF 令牌前做一些预先处理:
@app.before_request def check_csrf(): if not is_oauth(request): csrf.protect()
不需要表单,通过 AJAX 发送 POST 请求成为可能。0.9.0 版本后这个功能变成可用的。
假设你已经使用了 CsrfProtect(app)
,你可以通过 {
{ csrf_token() }}
获取 CSRF 令牌。这个方法在每个模板中都可以使用,你并不需要担心在没有表单时如何渲染 CSRF 令牌字段。
我们推荐的方式是在 <meta>
标签中渲染 CSRF 令牌:
<meta name="csrf-token" content="{ { csrf_token() }}">
在 <script>
标签中渲染同样可行:
<script type="text/javascript"> var csrftoken = "{ { csrf_token() }}" </script>
下面的例子采用了在 <meta>
标签渲染的方式, 在 <script>
中渲染会更简单,你无须担心没有相应的例子。
无论何时你发送 AJAX POST 请求,为其添加 X-CSRFToken
头:
var csrftoken = $('meta[name=csrf-token]').attr('content') $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken) } } })
当你定义你的表单的时候,如果犯了 `这个错误`_ : 从 wtforms
中导入 Form
而不是从 flask.ext.wtf
中导入,CSRF 保护的大部分功能都能工作(除了 form.validate_on_submit()
),但是 CSRF 保护将会发生异常。在提交表单的时候,你将会得到 Bad Request
/CSRF token missing or incorrect
错误。这个错误的出现就是因为你的导入错误,而不是你的配置问题。
文章浏览阅读1w次,点赞5次,收藏21次。编写一个简单Java程序,计算银行年存款的本息要求:程序运行后要求用户输入存款本金、年利率和存款年限,最后程序计算并输出相应年限后存款的金额。相应的计算公式为:存款总额=本金 * (1 + 利率)存款年限。提示:请检测用户输入的合法性。可以使用Math类来进行次方的运算:Math.pow(底数,指数)。代码块如下package interestCaculation;/** *@auth..._编写一个java程序,计算存款的利息,用户将输入存款金额和年利率,然后程序计算一年
文章浏览阅读6.4k次,点赞5次,收藏5次。ELK之 kibana 报错master_not_discovered_exception] null or kibana-Request Timeout after 30000ms{“type”:“log”,"@timestamp":“2020-05-18T13:34:53Z”,“tags”:[“warning”,“savedobjects-service”],“pid”:4674,“message”:“Unable to connect to Elasticsearch. Error: Reques_unable to connect to elasticsearch. error: request timeout after 30000ms
文章浏览阅读412次。报(Unsupported Media Type)异常主要原因为,前端工具请求接口的类型和后端服务器定义的类型不一致造成,一般工具请求类型和后端保持一致后,即可正常请求。解决:在POSTMAIN工具添加headerkey:Content-Type value:application/json..._postmn 415 unsupported media type
文章浏览阅读386次,点赞3次,收藏4次。W25Q64JVZPIQ 3V 64M-位串行闪存 双通道、四通道 SPI NOR FLASH 存储器_双通道 spi flash
文章浏览阅读420次。·在不同编码的页面之间提交表单 ,可使用accept-charset属性,此属性FF支持,但是IE不支持--------------------------------------------------------------------1. 表单从gb2312的页面提交到utf-8页面时。即 ·<form method="post" action="2.php" accept-cha..._前端 utf-8 gb2312
文章浏览阅读36次。Node.js的文件系统的Api//公共引用var fs = require('fs'),path = require('path');1、读取文件readFile函数//readFile(filename,[options],callback);/** * filename, 必选参数,文件名 * [options],可选参数,可指定flag...
文章浏览阅读380次。逆向_[actf新生赛2020]usualcrypt
文章浏览阅读191次。Eureka、Zookeeper、Consul作为三个不同的服务注册中心,拥有相同的功能(都能完成服务注册功能,都能进行集群等等),也具有不同的特性(自我保护机制不一样等等)。下面,对三方的异同点进行一定的分析:首先Eureka和Consul都具有自己的前端页面,而zookeeper没有。编程者可以在网页上查看、管理在服务中心入驻的微服务,而zookeeper需要通过指令进行管理。再者,我们需要先认识一下CAP理论:CAP: C:Consistency (强一致性) A:Av_eureka、zookeeper、consul的区别
文章浏览阅读6.4k次。QQ接收别人发的文件怎么设置不弹出接收信息以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!QQ接收别人发的文件怎么设置不弹出接收信息系统设置 消息窗口 把允许来消息时弹出窗口前面的勾去掉希望能帮到你qq怎么设置锁屏接收信息如果是安卓系统,打开设置——应用——找到QQ程序——选择显示悬浮窗。超级QQ怎么设置不接收信息现在还..._qq传输完文件后不提醒
文章浏览阅读6.6k次,点赞3次,收藏9次。如果使用cv2,直接保存二维数组就可以了,只是只能保存为灰度图(8bit);如果偏要保存为RGB图,则需要使用np.stack进行深度的堆叠(每个深度R/G/B的值是相同的),然后再保存就是RGB图了如果使用的是PIL,则没那么简单了,首先PIL 只接受浮点数,其次,如果要将二维数组保存为RGB图,需要使用convert('RGB')转化为RGB映射后,再保存;或者,如果只想保存为灰度图,则也必须使用convert('L')进行转换后,再保存就可以了具体代码如下:array = np.arra.._pil只能保存灰度图像吗
文章浏览阅读2.6k次。关于重装系统后开始菜单栏anaconda3文件夹消失问题的解决办法问题描述:初次安装成功,各项功能都可正常使用。重装系统后想要使用anaconda prompt安装扩展包,却发现连anaconda文件夹都没有。解决过程:查看了其他人的解决办法,大致有以下几种:1.python .\Lib\_nsis.py mkmenus2.conda update menuinstconda install -f console_shortcut ipython ipython-notebook ipython-_开始菜单没有anaconda3
文章浏览阅读708次。=E3=80=80=E3=80=80=E6=89=BF=E8=92=99=E8=B4=B5==E5=85=AC=E5=8F=B8=E5=AF=B9=E6=9C=AC=E4=BA=BA=E7=9A=84=E4=BF=A1=E4=BB=BB=E4==B8=8E=E9=82=80=E8=AF=B7=EF=BC=8C=E8=B0=A8=E8=A1=A8=E4=B8=87=E5=88=86=E6=84==9..._8b=e9=9d