版权声明:转载请注明原文地址 https://blog.csdn.net/qq_41333582/article/details/83032375
Flask项目实现防止CSRF攻击的流程
a) 使用 flask_wtf 中 CSRFProtect类,初始化该类并传入app
b) 使用 flask_wtf.csrf模块中的generate_csrf方法生成csrf_token
c) 使用请求勾子 after_request,取到响应,统一设置到cookie中
d) 如果前端使用form表单提交,需要在表单中添加隐藏的input,并设置其value值为: {{ csrf_token() }}
e) 如果前端使用ajax的方式提交,则在header中添加X-CSRFToken并设置相关值(值从cookie中取)
f) CSRFProtect的实现原理是:使用请求勾子,before_request的时候去取到cookie里面的值和表单(或者请求头)里面的值进行对比
g) Django中使用中间件的方式实现
Flask-WTF官方文档 http://www.pythondoc.com/flask-wtf/