了解什么是scrf?
SCRF跨站点请求伪造Cross—Site Request Forgery)
指恶意用户通过个人用户的点击,然而盗用用户的账号信息,并发送邮件、虚拟货币的转账,以及一些重要的事务,
造成财产损失和隐私泄露。
scrf的攻击示意图(过程)
flask-wtf防护
在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单
一、首先需要安装 flask-wtf:
pip install flask_wtf
二、设置应用程序的secret_key,用于加密生成scrf-token的值
app.secret_key = "#此处可以写随机字符串#"
三、导入flask-wtf。scrf中的scrfprotect类,进行初始化,并在初始化的时候关联app
from flask.ext.wtf import CSRFProtect
CSRFProtect(app)
四、在表单中使用scrf令牌
<form method="post" action="/"> <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" /> </form>