当前位置：首页 > 文章列表 > 文章 > 前端 > FlaskCSRF保护与表单使用教程

FlaskCSRF保护与表单使用教程

2025-12-06 10:57:34 0浏览收藏

推广推荐

支持 PC / 移动端，安全直达

你在学习文章相关的知识吗？本文《Flask CSRF保护与表单实践详解》，主要介绍的内容就涉及到，如果你想提升自己的开发能力，就不要错过这篇文章，大家要知道编程理论基础和实战操作都是不可或缺的哦！

深入理解Flask中的CSRF保护与Flask-WTF表单实践

本文深入探讨了Flask应用中跨站请求伪造（CSRF）攻击的原理与防御机制。我们将详细解释CSRF攻击如何利用用户会话执行未授权操作，以及Flask-WTF如何通过CSRF令牌自动提供保护。内容涵盖CSRF保护的适用场景（主要针对POST请求而非GET请求），以及如何在Flask-WTF中使用空表单来集成CSRF令牌，确保应用安全性。

1. 跨站请求伪造 (CSRF) 攻击原理

跨站请求伪造（Cross-Site Request Forgery, CSRF）是一种常见的网络攻击，其核心在于诱导受害者在不知情的情况下，向其已登录的Web应用程序发送伪造的请求。攻击者利用用户在目标网站上的有效认证会话（通常通过Cookie维护），迫使用户的浏览器执行用户本不打算执行的操作，例如更改邮箱、密码、发布内容或进行资金转账等。

攻击示例解析： 假设您的Flask应用中有一个功能，允许已登录用户通过访问特定URL来更新其邮箱地址，例如 https://mygreatapp.com/updatemail?email=new_email@example.com。当用户登录到 mygreatapp.com 后，其浏览器会持有该站点的有效会话Cookie。

攻击者可以构造一个恶意页面，并在其中嵌入一个看似无害的元素，例如一个标签，其 src 属性指向一个恶意URL：

<img src="https://mygreatapp.com/updatemail?email=attacker@malicious.com" style="display:none;">

当已登录的用户访问攻击者控制的这个恶意页面时，用户的浏览器会自动加载标签中的 src URL。由于浏览器在发送请求时会自动携带 mygreatapp.com 的会话Cookie，服务器会认为这是一个合法用户发起的请求，并执行邮箱更新操作，将用户的邮箱更改为 attacker@malicious.com。攻击者随后便可利用“忘记密码”功能重置密码，从而劫持用户账户。

2. CSRF 保护机制

CSRF保护的核心在于引入一个只有合法用户才能提供、且攻击者难以猜测或获取的秘密令牌（CSRF Token）。其工作流程如下：

服务器生成令牌： 当用户请求一个包含表单的页面时，服务器会生成一个唯一、随机且与用户当前会话绑定的CSRF令牌。这个令牌通常会存储在用户会话中，并通过一个隐藏字段嵌入到发送给用户的HTML表单中。
客户端提交令牌： 用户提交表单时，浏览器会将表单数据连同这个隐藏的CSRF令牌一起发送回服务器。
服务器验证令牌： 服务器接收到请求后，会验证提交的CSRF令牌是否与当前用户会话中存储的令牌一致。
- 如果令牌一致，服务器认为请求是合法的，并允许执行相应的操作。
- 如果令牌不一致或缺失，服务器会判断请求为伪造的，并拒绝该请求，从而阻止攻击。

由于攻击者无法预测或获取到这个随机生成的、与用户会话绑定的令牌，因此无法构造出带有正确令牌的恶意请求，从而有效阻止CSRF攻击。

3. Flask-WTF 与 CSRF 保护实践

Flask-WTF 是 Flask 框架的一个扩展，它集成了 WTForms 库，为表单处理提供了极大的便利，包括内置的CSRF保护。

3.1 CSRF 保护的适用场景

HTTP 方法： CSRF保护主要针对会改变服务器状态的请求，例如 POST、PUT、DELETE 等。对于不会改变服务器状态的 GET 和 HEAD 请求，通常不需要CSRF保护。这是因为 GET 请求被设计为幂等的、可缓存的，且不应产生副作用。如果一个 GET 请求被设计为改变服务器状态，那本身就违反了HTTP规范，应将其改为 POST 或其他适当的方法。
用户状态： CSRF保护并非只针对已登录用户。任何可能导致服务器状态改变的操作，无论用户是否登录（例如匿名用户提交评论、注册账户等），都应考虑CSRF保护，以防止恶意用户利用这些接口进行滥用。

3.2 在 Flask 应用中启用 Flask-WTF CSRF 保护

Flask-WTF 默认开启了CSRF保护。你只需确保在 Flask 应用配置中设置了 SECRET_KEY，并初始化 CSRFProtect 扩展。

app.py 配置示例：

from flask import Flask
from flask_wtf.csrf import CSRFProtect

app = Flask(__name__)
# 必须设置一个强密钥，用于签名会话Cookie和CSRF令牌
# 生产环境中应通过环境变量或其他安全方式配置
app.config['SECRET_KEY'] = 'your_very_strong_and_random_secret_key' 

# 初始化 CSRFProtect 扩展
csrf = CSRFProtect(app)

# ... 其他路由和视图函数定义

3.3 使用空 Flask-WTF 表单集成 CSRF 令牌

即使表单不包含任何用户输入字段，你也可以利用 Flask-WTF 来生成并管理CSRF令牌。这对于那些仅用于触发特定操作（如确认删除、触发异步任务等）而无需额外用户输入的表单非常有用。

forms.py 示例：

from flask_wtf import FlaskForm

class EmptyForm(FlaskForm):
    """
    一个不包含任何用户输入字段的空表单。
    FlaskForm 会自动处理 CSRF 令牌的生成和验证。
    """
    pass

routes.py 示例：

from flask import render_template, request, redirect, url_for, flash
from app import app # 假设 app 实例在 app.py 中定义
from forms import EmptyForm

@app.route('/confirm_action', methods=['GET', 'POST'])
def confirm_action():
    form = EmptyForm()
    if request.method == 'POST':
        # form.validate_on_submit() 会自动验证 CSRF 令牌
        if form.validate_on_submit():
            # CSRF 令牌已验证通过，执行需要保护的操作
            # 例如：删除用户数据、发送通知等
            flash('操作已成功执行！', 'success')
            return redirect(url_for('index')) # 重定向到其他页面
        else:
            # CSRF 令牌无效或表单验证失败
            flash('操作失败，安全验证不通过，请重试。', 'danger')

    # 对于 GET 请求或 POST 请求验证失败的情况，渲染表单页面
    return render_template('confirm_action.html', form=form)

# 假设有一个首页路由用于重定向
@app.route('/')
def index():
    return "<h1>欢迎来到首页！</h1><p>点击 <a href='/confirm_action'>这里</a> 确认操作。</p>"

confirm_action.html 示例：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>确认操作</title>
    <style>
        .success { color: green; }
        .danger { color: red; }
    </style>
</head>
<body>
    <h1>确认您的操作</h1>
    <p>您即将执行一个重要操作。请点击确认按钮继续。</p>

    <!-- 
        对于需要CSRF保护的表单，method 必须是 POST。
        GET 请求不应改变服务器状态，因此通常不应携带CSRF令牌来执行状态改变操作。
    -->
    <form method="POST">
        {{ form.csrf_token }} <!-- 自动渲染隐藏的 CSRF 令牌字段 -->
        <button type="submit">确认</button>
    </form>

    {% with messages = get_flashed_messages(with_categories=true) %}
        {% if messages %}
            <ul class="flashes">
                {% for category, message in messages %}
                    <li class="{{ category }}">{{ message }}</li>
                {% endfor %}
            </ul>
        {% endif %}
    {% endwith %}
</body>
</html>

关于原问题中 method="GET" 表单的说明： 在原始问题提供的HTML代码中，表单的 method 属性被设置为 GET。虽然 Flask-WTF 允许你在 GET 表单中渲染 csrf_token，但这通常不是推荐的做法。CSRF保护主要用于防止恶意 POST 请求，因为 GET 请求不应改变服务器状态。如果一个 GET 请求携带了CSRF令牌并改变了状态，这表明应用设计上存在缺陷。如果你的表单确实需要改变状态，请务必将其 method 设置为 POST。如果表单仅用于显示信息或不改变服务器状态，则不需要CSRF保护。

4. 注意事项与最佳实践

SECRET_KEY 的安全性： SECRET_KEY 是 Flask 应用安全的核心。它用于签名会话Cookie和CSRF令牌。务必使用一个长、随机且复杂的密钥，并且绝不能将其硬编码在代码中或提交到版本控制系统。在生产环境中，应通过环境变量或其他安全配置方式进行管理。
严格遵守HTTP方法语义： 严格遵守HTTP方法语义，不要在 GET 请求中执行任何会改变服务器状态的操作。如果需要改变状态，请使用 POST 请求，并辅以CSRF保护。
理解 form.validate_on_submit()： 这个方法会在 POST 请求时自动验证

本篇关于《FlaskCSRF保护与表单使用教程》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！