在flask當中，flask-wtf模塊時攜帶csrf校驗的，只是需要開啟；
如果不開啟校驗就不需要校驗，但是那樣不安全。
Csrf是針對與post請求的跨域限制，get請求沒有作用
csrf_token的開啟
?

在flask中開啟csrf保護

from flask_wtf.csrf import CsrfProtect CsrfProtect(app)

csrf也支持惰性加載

from flask_wtf.csrf import CsrfProtectcsrf = CsrfProtect()def create_app():app = Flask(__name__)csrf.init_app(app)

注意: csrf保護需要app設置鹽 app.config["SECRET_KEY"]

使用表單提交請求添加驗證方法:

在表單中添加csrf驗證

方式一: <form method="post" action="">{{ form.csrf_token }} </form> 方式二:(推薦) <form method="post" action="/"><input type="hidden" name="csrf_token" value="{{ csrf_token() }}" /> </form>

csrf不通過會返回400響應

你可以自定義返回的頁面

@csrf.error_handler def csrf_error(reason):return render_template('csrf_error.html', reason=reason), 400

如果你想要某些路由不進行csrf驗證,使用csrf.exempt放棄驗證

@csrf.exempt @app.route('/foo', methods=('GET', 'POST')) def my_handler():# ...return 'ok'

使用ajax提交請求

方法一:

# 首先在html文件里面的head標簽里面添加meta標簽 <meta name="csrf-token" content="{{ csrf_token() }}"> # 然后在script里面使用jquery獲取 <script type="text/javascript"> var csrftoken = $('meta[name=csrf-token]').attr('content') $.ajaxSetup({beforeSend: function(xhr, settings) {if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {xhr.setRequestHeader("X-CSRFToken", csrftoken)}} }) </script>

方法二:

<script type="text/javascript"> var csrftoken = "{{ csrf_token() }}"$.ajaxSetup({beforeSend: function(xhr, settings) {if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {xhr.setRequestHeader("X-CSRFToken", csrftoken)}} }) </script>

?

1、首先在配置文件中開啟CSRFProtect

?

?

2、視圖中實例化forms類

?

?

3、前端使用csrf_token

?

?

4、非flask自創的form表單即前端的form表單使用csrf_token的方式

切記要在后面加括號
?

?

5、ajax的post請求中使用csrf_token

?

?

6、@csrf.exempt單個視圖免除csrf_token校驗

?

?

總結

以上是生活随笔為你收集整理的Flask的csrf_token的用法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。