4.1 配置Flask-WTF
与其他多数扩展不同,Flask-WTF 无须在应用层初始化,但是它要求应用配置一个密钥。
密钥是一个由随机字符构成的唯一字符串,通过加密或签名以不同的方式提升应用的安全 性。
Flask 使用这个密钥保护用户会话,以防被篡改。每个应用的密钥应该不同,而且不 能让任何人知道。示例 4-1 展示如何在 Flask 应用中配置密钥。
示例 4-1 hello.py:配置 Flask-WTF
app = Flask(__name__)
app.config['SECRET_KEY'] = 'hard to guess string'
app.config 字典可用于存储 Flask、扩展和应用自身的配置变量。使用标准的字典句法就 能把配置添加到 app.config 对象中。这个对象还提供了一些方法,可以从文件或环境中导 入配置。第 7 章将介绍管理大型应用配置的合理方式。
Flask-WTF 之所以要求应用配置一个密钥,是为了防止表单遭到跨站请求伪造(CSRF, cross-site request forgery)攻击。
恶意网站把请求发送到被攻击者已登录的其他网站时,就 会引发 CSRF 攻击。Flask-WTF 为所有表单生成安全令牌,存储在用户会话中。令牌是一 种加密签名,根据密钥生成。
- 为了增强安全性,密钥不应该直接写入源码,而要保存在环境变量中。这一 技术在第 7 章介绍。
《基于Python的Web应用开发实战(第二版)》