初窥CSRF攻击方式以及Flask-WTF

￡神魔★判官ぃ 2023-06-10 15:24 2阅读 0赞

# 含义 #

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

# 解释 #

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9zdHk5NDUuYmxvZy5jc2RuLm5ldA_size_16_color_FFFFFF_t_70]这幅图非常形象的解释了CSRF原理的具体过程。

从上图可以看出，要完成一次CSRF攻击，受害者必须依次完成两个步骤：

1.  登录受信任网站A，并在本地生成Cookie。
2.  在不登出A的情况下，访问危险网站B。

看到这里，你也许会说：“如果我不满足以上两个条件中的一个，我就不会受到CSRF的攻击”。是的，确实如此，但你不能保证以下情况不会发生：

1.  你不能保证你登录了一个网站后，不再打开一个tab页面并访问另外的网站。
2.  你不能保证你关闭浏览器了后，你本地的Cookie立刻过期，你上次的会话已经结束。（事实上，关闭浏览器不能结束一个会话，但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了…）
3.  上图中所谓的攻击网站，可能是一个存在其他漏洞的可信任的经常被人访问的网站。

# flask 中的CSRF保护 #

Flask-WTF 表单保护你免受 CSRF 威胁，你不需要有任何担心。尽管如此，如果你有不包含表单的视图，那么它们仍需要额外的保护。  
例如，由 AJAX 发送的 POST 请求，并没有通过表单。在 0.9.0 之前版本，你无法获得 CSRF 令牌。这就是为什么我们编写了 CSRF 模块。

## 实现 ##

要对所有视图函数启用 CSRF 保护，你需要启用 CsrfProtect 模块:

from flask_wtf.csrf import CsrfProtect
    
    CsrfProtect(app)

与任何其它的 Flask 扩展一样，你可以惰性加载它:

from flask_wtf.csrf import CsrfProtect
    
    csrf = CsrfProtect()
    
    def create_app():
        app = Flask(__name__)
        csrf.init_app(app)

如果模板中有表单，你不需要做任何事。与之前一样:

<form method="post" action="/">
        { {  form.csrf_token }}
    </form>

但如果模板中没有表单，你仍需要 CSRF 令牌:

无论何时未通过 CSRF 验证，都会返回 400 响应。你可以自定义这个错误响应:

@csrf.error_handler
    def csrf_error(reason):
        return render_template('csrf_error.html', reason=reason), 400

我们强烈建议你对所有视图启用 CSRF 保护。但也提供了将某些视图函数除外的途径:

@csrf.exempt
    @app.route('/foo', methods=('GET', 'POST'))
    def my_handler():
        # ...
        return 'ok'

# 参考 #

https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html  
http://docs.jinkan.org/docs/flask-wtf/csrf.html

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9zdHk5NDUuYmxvZy5jc2RuLm5ldA_size_16_color_FFFFFF_t_70]: /images/20230531/1e946d2b9b4b44e485a1bd17a2aedfe6.png