Flask: 在WTForms中使用Flask动态生成CSRF token

在本文中，我们将介绍如何在使用Flask和WTForms时动态生成CSRF token。CSRF（Cross-Site Request Forgery）是一种常见的Web攻击方式，可以利用已认证用户的权限执行恶意操作。为了防止这种攻击，我们需要在Web应用程序中使用CSRF token。

阅读更多：Flask 教程

什么是CSRF token?

CSRF token是一个随机生成的字符串，它与用户的会话相关联。当用户提交表单时，该token会作为隐藏字段包含在表单中。服务器收到表单请求时，会验证该token是否有效，从而确保该请求是用户自己发送的。如果token无效，则服务器会拒绝请求。

在Flask上配置CSRF保护

Flask提供了内置的CSRF保护机制，可以轻松集成到应用程序中。要启用CSRF保护，我们需要为应用程序生成一个密钥，并将其配置为Flask应用程序的SECRET_KEY。

from flask import Flask
from flask_wtf.csrf import CSRFProtect

app = Flask(__name__)
app.config['SECRET_KEY'] = 'your-secret-key'
csrf = CSRFProtect(app)

在上面的代码中，我们使用了Flask-WTF扩展提供的CSRFProtect类。通过将app对象传递给CSRFProtect构造函数，我们启用了CSRF保护，并将密钥配置为应用程序的SECRET_KEY。

在WTForms中使用CSRF token

要在WTForms中使用CSRF token，我们可以使用Flask-WTF扩展提供的Form类。该类继承自WTForms的Form类，添加了内置的CSRF保护机制。

from flask_wtf import FlaskForm
from wtforms import StringField, SubmitField

class MyForm(FlaskForm):
    name = StringField('Name')
    submit = SubmitField('Submit')

在上面的代码中，我们定义了一个简单的表单类MyForm，该类继承自FlaskForm。传递给StringField和SubmitField的标签参数用于在表单中显示字段和按钮。

为了在表单中使用CSRF token，我们只需要将表单实例传递给模板，并在模板中使用form.hidden_tag()来渲染隐藏的CSRF字段。

from flask import render_template
from app import app
from forms import MyForm

@app.route('/form', methods=['GET', 'POST'])
def form():
    form = MyForm()
    return render_template('form.html', form=form)

<form method="POST" action="/form">
    {{ form.hidden_tag() }}
    {{ form.name.label }}
    {{ form.name }}
    {{ form.submit }}
</form>

在上面的代码中，我们为/form路由定义了一个视图函数form()。在该函数中，我们创建了MyForm的实例，并将其传递给form.html模板。在模板中，我们使用form.hidden_tag()渲染隐藏的CSRF字段，并使用form.name.label、form.name和form.submit来渲染其他字段和按钮。

以上代码将生成一个带有CSRF token的表单，并且在用户提交表单时会自动验证CSRF token的有效性。

自定义CSRF token生成器

默认情况下，Flask-WTF使用csrf_token函数生成CSRF token。如果需要自定义生成器，可以通过设置WTF_CSRF_TIME_LIMIT和WTF_CSRF_METHODS来实现。

from flask import Flask
from flask_wtf.csrf import CSRFProtect
from flask_wtf.csrf import generate_csrf

app = Flask(__name__)
app.config['WTF_CSRF_TIME_LIMIT'] = 600
app.config['WTF_CSRF_METHODS'] = ['GET', 'POST']

def my_csrf_token():
    # 自定义生成CSRF token的逻辑
    return generate_csrf()

csrf = CSRFProtect(app)
csrf._get_csrf_token = my_csrf_token

在上面的代码中，我们设置了WTF_CSRF_TIME_LIMIT为600秒，这意味着将为每个请求生成一个新的CSRF token。我们还将WTF_CSRF_METHODS设置为['GET', 'POST']，表示GET和POST请求都需要进行CSRF保护。

然后，我们定义了一个名为my_csrf_token()的函数，用于生成自定义的CSRF token。通过将这个函数赋值给csrf._get_csrf_token，我们将自定义的CSRF token生成器添加到Flask-WTF的内部处理机制中。

总结

在本文中，我们介绍了如何在Flask和WTForms中动态生成CSRF token。通过使用Flask-WTF扩展提供的CSRFProtect类，我们可以轻松地启用CSRF保护，并在表单中使用CSRF token。如果需要自定义CSRF token生成器，可以通过设置WTF_CSRF_TIME_LIMIT和WTF_CSRF_METHODS来实现。通过采取这些措施，我们可以有效地防范CSRF攻击，确保Web应用程序的安全性。