CSRF防范介绍之二

最新推荐文章于 2025-12-27 21:07:42 发布
原创 最新推荐文章于 2025-12-27 21:07:42 发布 · 161 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#csrf #前端
本文介绍了CSRF防范原理,重点讲解了如何在Flask应用中使用Flask_WTF库进行CSRF防护,包括设置secret_key、生成和验证token,以及在AJAX请求中的处理方式。并通过源码解析展示了加密和存储过程。

一、前言

CSRF防范介绍之一》我们介绍了使用Flask搭建CSRF攻击的钓鱼网站,主要是利用Form表单能跨域提交获取cookie值的漏洞,这节我们再来介绍一下使用Flask_wtf的自带的一套CSRF防护体系。

二、CSRF防范原理

最基础防护方法的是检测Refer值,但Refer值是极其容易被伪造,一般采用随机生成Token的方式来防范,逻辑如下,这个与你的代码是哪一门语言没有关系。

1、后端生成一个token存放在session或redis中。

2、将token返回给前端。

3、前端表单提交时携带上该token。

4、后端校验提交的token和自己生成的token是否相同,如相同则放行,否则认为是伪造请求,拒绝服务。

三、Flask_WTF CSRF

我们对《CSRF防范介绍之一》 的网站转账模块进行改造,使用flask_wtf重构一下代码。

Flask_WTF集成了WTForms,并带有 csrf 令牌的安全表单和全局的 csrf 保护的功能。

pip install flask_wtf

1、设置应用程序secret_key用于加密生成的csrf_token值。

注:应用程序app对象配置secret_key的值,然后需要导入CSRFProtect类并在初始化时关联app。

2、在转账页面表单中添加CSRF令牌。

启动应用后,这时你登录了正常网站A,然后又点击了恶意网站B 【领取优惠券】按纽后,会报提交请求失败。

注:如果是ajax请求,可以在http头上添加上X-CSRFToken 。

四、flask_wtf csrf源码解析

1、源代码文件 flask_wtf/csrf.py

注:生成一个随机字符进行sha1加密后,将其存放在session中,并与应用配置的secret_key进行序列化后生成token,最后将token设置到g中(g是单次请求全局变量,这样表单页面就可以直接引用)。

2、校验

使用 Flask-WTF 防止跨站请求攻击(CSRF):一份全面指南
PythonWeb实践
04-17 1596
通过以上步骤,我们已经成功地在 Flask 应用中实现了 Flask-WTF 的 CSRF 保护功能。这将确保我们的应用在处理表单数据时具有更高的安全性。使用 Flask-WTF 防止跨站请求攻击(CSRF):一份全面指南。
CSRF攻击介绍、模拟、防范
非完美世界
03-21 2324
CSRF攻击Web安全是我们不可忽视的部分,所以了解一下基础的攻击手段的实现和防范,是非常有必要的。 CSRF是什么? 模拟实现CSRF攻击 防范CSRF攻击 Token的实现 什么是CSRF攻击CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意
Flask实现CSRF保护
热门推荐
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
Flask框架——CSRF保护
HMMHMH的博客
10-12 854
目录CSRF攻击如何防御CSRF攻击Flask框架中的CSRF保护机制 CSRF攻击 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全。 攻击示意图: 如何防御CSRF攻击 在客户端...
学习FlaskCSRF
吴家健ken的博客
07-26 1004
什么是CSRF,不多解释,简单点说,就是防止网站的form 被跨域重复提交。 要使用CSRF,可以利用flask_wtf 自带的CSRF,这样就要结合flask_wtf 的Form 表单一起实现了。 继续从这个项目中说起 首先,都是需要卸载flask_wtf $ pip install Flask-WTF 在extendsions.py 中引用 from flask_wtf import CSRFProtect ...... csrf = CSRFProtect() 在__init__.py 初始化
Flask中的csrf_token的设置
qq_44906497的博客
10-18 503
【代码】Flask中的csrf_token的设置。
CSRF防范介绍之一
程序员青菜学厨记
10-27 188
CSRF是Cross Site Request Forgery的缩写,即跨站请求伪造,CSRF攻击是借助受害者的Cookie骗取服务器的信任,以受害者名义伪造请求对服务器进行攻击,一直以来有个疑问,前后端分离使用LocalStorage存储用户令牌token是否还存在CSRF漏洞?注:这里action指向网站A,然后页面做得很炫,用色情或者领取优惠券等吸引眼球的效果诱导你去点击链接,如果这时你在正常网站A登录成功没有退出,然后点了恶意网站B的链接。A网站登录没有退出的情况下,在B网站点击链接。
csrf攻击及其防范介绍
Martian
10-16 1648
CSRF(Cross-site request forgery),跨站请求伪造 亦称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF,首先要获取站点用户登录信息,然后冒充正常用户登录,进行破坏活动,受害方为正常用户和站点。攻击类型:显示攻击 / 隐式攻击注意:用户网站是否存在脚本注入的漏洞,并不影响 CSRF 攻击,通过使用第三方存在安全隐患
XSS与CSRF 介绍防范
qq_37152533的博客
09-04 345
XSS: 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 通过客户端脚本语言(最常见如:JavaScript) 在一个论坛发帖中发布一段恶意的JavaScript代码就是脚本注入,如果这个代码内容有请求外部服务...
Flask-WTF项目中的CSRF保护机制详解
最新发布
gitblog_00587的博客
12-27 892
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web安全威胁,攻击者诱导用户在已登录的Web应用中执行非预期的操作。Flask-WTF提供了完善的CSRF保护机制,帮助开发者轻松防御这类攻击。 ## 基本配置 在Flask应用中启用全局CSRF保护非常简单: ```python from flask_wtf.csrf import CSRFProt
Flask项目实战:登录保护与CSRF防护
weixin_29476595的博客
04-29 445
本文深入探讨了Flask框架中的登录保护机制和CSRF防护策略。通过login_required装饰器和CSRFProtect扩展,实现了对用户访问权限的控制以及表单提交的验证,保障了Web应用的安全性。
【python】深入探讨flask是如何预防CSRF攻击的
2501_90223240的博客
01-15 962
简单总结一下本文flaskCSRF攻击的防护策略:自动防护策略:同源检测(Origin和Referer验证);主动防护策略:token验证以及配合SameSite设置;为了更好的防御CSRF,最佳实践应该是结合上面总结的防御措施方式中的优缺点来综合考虑,结合当前Web应用程序自身的情况做合适的选择,才能更好的预防CSRF的发生。
Flaskcsrf_token的用法
Allen . Liu
09-23 3168
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 在flask中开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
flask中的csrf防御机制
FreeSpider
07-17 2259
csrf概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求
paul0926的博客
07-03 5060
Flask--CSRFToken保护什么是csrfcsrf具体过程csrf保护实现后端写保护表单提交添加保护自定义错误响应和关闭保护ajax提交 前文: 查看官方文档:http://www.pythondoc.com/flask-wtf/csrf.html#id4 什么是csrf 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包...
flaskCSRF保护机制
Junc_hu的博客
10-14 499
如果是发送from表单, 则使用原来的隐藏表单的形式(生成&派发令牌) <form method="post" action="/"> <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" /> </form> 如果是AJA
Python CSRF(跨站请求伪造)防御机制
2501_90934827的博客
03-31 1695
CSRF攻击的核心在于利用了用户的浏览器会话状态。当用户已经登录到某个网站时,攻击者可以构造一个恶意链接或表单,诱使用户点击或提交。由于浏览器会自动附带用户的认证信息(如Cookie),服务器无法区分该请求是合法的还是由攻击者伪造的。本文介绍了Python中常见的CSRF防御机制,重点探讨了Django和Flask框架的具体实现方式。无论选择哪种框架,都需要遵循最佳实践,确保应用程序的安全性。希望读者能够从中获得启发,在实际项目中更好地应对CSRF威胁。```
flask-restful + flask-migrate + flask-csrf + 给类视图增加多个装饰器
langdei的博客
10-17 801
文章目录一、flask-restful1. flask 中restful安装及配置,基本结构(路由的两种写法)① 第一步:安装② restful使用(配置,收集路由)③ 基本结构(路由的两种写法)2. 视图中使用restful**① get请求**② post请求③ put请求④ delete请求⑤ Django和flask中一些方法不同的获取方式3. 代码优化① 规定返回格式,将其写在init初...
Flask-Form表单的使用及其csrf_token的开启使用(六)
z_ipython的博客
08-08 3807
Django 当中有form类,这个类给开发者提供了相当丰富的校验方式。 Flask和django同样推出了form类的插件,flask-wtf 一、flask form表单的安装和简单字段属性的应用 1、安装flask form插件 pip install flask-wtf 2、flask项目主目录下创建forms.py文件 3、表单常用的字段 字段 说明 String...
flask中的csrf防御
zy_whynot的博客
03-25 980
flask中的csrf防御机制 两种方式: 方式一: 1、在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2、在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3、在用户点击提交的时候,会带上这两个值向后台发起请求 4、后端接受到请求,以会以下几件事件: (1)从 cookie中取出 csrf_token (2)从 表单数......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值