使用FlaskForm处理请求的任何视图函数都已经获得了CSRF保护。如果有些视图函数还在使用FlaskForm或AJAX请求,请尽快使用FlaskForm提供的CSRF扩展来保护它们。
导入
想要为Flask应用程序启用全局CSRF保护,请注册CSRFProtect扩展。
from flask_wtf.csrf import CSRFProtect
csrf = CSRFProtect(app)
像其他Flask扩展一样,您可以傻瓜地应用它:
csrf = CSRFProtect()
def create_app():
app = Flask(__name__)
csrf.init_app(app)
注意
CSRF保护需要一个秘密密钥来安全地签署令牌。 默认情况下,这将使用Flask应用程序的SECRET_KEY。 如果要使用单独的令牌,可以设置WTF_CSRF_SECRET_KEY。
HTML Forms
当使用FlaskForm时,可以像正常平时一样渲染表单的CSRF字段。
<form method="post">
{{ form.csrf_token }}
</form>
如果模板不使用FlaskForm,则设置input表单中的type为hidden。
<form method="post">
<input type="hidden" name="csrf_token" value="{{ csrf_token() }}"/>
</form>
JavaScript 请求
发送AJAX请求时,将X-CSRFToken头添加到请求中。例如在jQuery中,您可以配置发送的token给所有请求。
<script type="text/javascript">
var csrf_token = "{{ csrf_token() }}";
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrf_token);
}
}
});
</script>
自定义错误响应
当CSRF验证失败时,会引发CSRFError。 默认情况下,这将返回一个带有失败原因的响应和一个400代码。 您可以使用Flask的errorhandler()自定义错误响应。
from flask_wtf.csrf import CSRFError
@app.errorhandler(CSRFError)
def handle_csrf_error(e):
return render_template('csrf_error.html', reason=e.description), 400
视图保护过滤¶
我们强烈建议您使用CSRF保护您的所有观点。 但是如果确实需要,您可以使用装饰器过滤掉某些视图.
@app.route('/foo', methods=('GET', 'POST'))
@csrf.exempt
def my_handler():
# ...
return 'ok'
您可以过滤掉蓝图的所有视图。
csrf.exempt(account_blueprint)
默认情况下,通过将WTF_CSRF_CHECK_DEFAULT设置为False,可以在所有视图中禁用CSRF保护,只有在需要时才选择性地调用protect()。这也使您能够在检查CSRF token之前对请求进行一些预处理。
@app.before_request
def check_csrf():
if not is_oauth(request):
csrf.protect()