Flask 中的 CSRF 保護

woff

跨站請求偽造 (CSRF)是一種安全漏洞，攻擊者會誘騙使用者在不知情的情況下向已驗證身分的 Web 應用程式提交請求。這可能導致攻擊者以使用者的名義執行未經授權的操作，例如更改帳戶設定或進行交易。

如何防止 CSRF 攻擊？
預防 CSRF 攻擊最有效的方法之一是使用 CSRF 令牌。這些令牌是唯一的、動態產生的值，包含在表單中，並在發出請求時由伺服器驗證。由於攻擊者無法預測這些令牌，因此他們無法偽造有效的請求。

Flask CSRF 保護

在 Flask 中實現 CSRF 保護
步驟1：安裝依賴項
若要在 Flask 中實現 CSRF 保護，請使用以下命令安裝所需的軟體包：

1. pip install flask flask-wtf

複製代碼

步驟2：設定Flask應用程式
在 Flask 中，可以使用 Flask-WTF 啟用 CSRF 保護，它為表單提供自動 CSRF 保護。下面是一個基本範例：

1. from flask import Flask, render_template, request, flash
   
2. from flask_wtf import FlaskForm, CSRFProtect
   
3. from wtforms import StringField, SubmitField
   
4. from wtforms.validators import DataRequired
   
5. 
   
6. app = Flask(__name__)
   
7. app.secret_key = 'your_secret_key'  # Required for CSRF protection
   
8. csrf = CSRFProtect(app)  # Enable CSRF Protection
   
9. 
   
10. # Creating a FlaskForm to manage CSRF properly
    
11. class NameForm(FlaskForm):
    
12.     name = StringField('Name', validators=[DataRequired()])
    
13.     submit = SubmitField('Submit')
    
14. 
    
15. @app.route("/", methods=['GET', 'POST'])
    
16. def index():
    
17.     form = NameForm()
    
18. 
    
19.     if request.method == 'POST':
    
20.         if form.validate_on_submit():
    
21.             name = form.name.data
    
22.             flash(f'Hello {name} from Protected Form!', 'success')
    
23.             return render_template('index.html', form=form)
    
24.         else:
    
25.             flash('CSRF Token Missing or Invalid!', 'danger')
    
26. 
    
27.     return render_template('index.html', form=form)
    
28. 
    
29. @app.route("/unprotected_form", methods=['POST'])
    
30. def unprotected_form():
    
31.     name = request.form.get('Name', '').strip()
    
32.     if not name:
    
33.         return "Error: Name is required!", 400
    
34.     return f'Hello {name} from Unprotected Form!'
    
35. 
    
36. if __name__ == '__main__':
    
37.     app.run(debug=True)

複製代碼

步驟3：建立安全的HTML表單
一個包含受 CSRF 保護和不受保護的表單的簡單 HTML 頁面：

1. <!DOCTYPE html>
   
2. <html>
   
3. <head>
   
4.     <title>CSRF Protection Demo</title>
   
5. </head>
   
6. <body>
   
7. 
   
8.     <h2>Protected Form (CSRF Token Required)</h2>
   
9.     <form action="{{ url_for('index') }}" method="POST">
   
10.         {{ form.hidden_tag() }}  <!-- This automatically includes CSRF token -->
    
11.         <label for="Name">Your Name Please?</label>
    
12.         {{ form.name() }}  <!-- Flask-WTF handles input -->
    
13.         {{ form.submit() }}  <!-- Submit button -->
    
14.     </form>
    
15. 
    
16.     <h2>Unprotected Form (No CSRF Token)</h2>
    
17.     <form action="{{ url_for('unprotected_form') }}" method="POST">
    
18.         <label for="Name">Your Name Please?</label>
    
19.         <input type="text" name="Name" required>
    
20.         <button type="submit">Submit</button>
    
21.     </form>
    
22. 
    
23.     <!-- Flash Messages -->
    
24.     {% with messages = get_flashed_messages(with_categories=True) %}
    
25.         {% if messages %}
    
26.             {% for category, message in messages %}
    
27.                 <p style="color: {{ 'red' if category == 'danger' else 'green' }}">{{ message }}</p>
    
28.             {% endfor %}
    
29.         {% endif %}
    
30.     {% endwith %}
    
31. 
    
32. </body>
    
33. </html>

複製代碼

步驟5：測試CSRF保護
在瀏覽器中開啟http://127.0.0.1:5000/protected_form 。
嘗試提交兩種表格：
不受保護的表單：提交時沒有任何令牌，因此容易受到 CSRF 攻擊。
受保護的表單：需要有效的 CSRF 令牌才能成功提交。
如果您嘗試在沒有 CSRF 令牌的情況下提交受保護的表單，則會發生錯誤，從而阻止未經授權的請求。

Flask CSRF 保護

Flask CSRF 保護

Flask CSRF 保護

Flask CSRF 保護

注意：要提交需要 CSRF 令牌的表單，請使用 Flask-WTF 的 hidden_​​tag() 方法，它會自動在表單內產生包含 CSRD 令牌的隱藏欄位。


https://www.geeksforgeeks.org/python/csrf-protection-in-flask/