在 Flask 项目中解决 CSRF 攻击

#转载请留言联系

1. CSRF是什么？

• CSRF全拼为Cross Site Request Forgery，译为跨站请求伪造。
• CSRF指攻击者盗用了你的身份，以你的名义发送恶意请求。包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......
• 造成的问题：个人隐私泄露以及财产安全。

2.CSRF攻击示意图

原理其实很简单。举个简单的例子。A是一个很有钱的人，B是专门帮人托管钱的人，相当于银行的角色，C是偷窃者。A和B约定，有人叫你给钱你就给钱。A把钱放在B那里。平时A就去问B拿钱，B就直接给钱给他。某一天，C也问一下B拿钱，B也直接给钱给C了，C这时候就相当于偷了A的钱。这就是csrf的攻击原理。

解决办法的原理也很简单，就是A和B约定一下暗号，C来问B拿钱时，对不上暗号，自然就拿不到钱了。

3.代码

(1)模拟CSRF攻击

(2)阻止CSRF攻击

(3)用 flask 的flask_wtf 模板实现阻止 CSRF 攻击

(1)(2)代码保存在：https://github.com/chichungceng/CSRF

有兴趣可以看看

(3)比较简单，代码如下：

from flask import Flask
from flask import render_template
from flask.ext.wtf import CSRFProtect
app = Flask(__name__)

app.secret_key = "436fs3424123+=)%$$#l54,5"    # 随便写
# 让当前flask应用激活csrf防范机制
CSRFProtect(app)

@app.route('/')
def index():
    return render_template('transfer.html')

if __name__ == '__main__':
    app.run(debug=True, port=8000)

然后在表单里面加入一句语句就行了。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="">
        <input type="hidden" name="csrf_token" value="{{csrf_token()}}">    <--这一句
    </form>
</body>
</html>

这样操作后就可以自动增加 token 了，比较轻松。