六十五:CSRF攻击与防御之CSRF防御之form表单防御

 

防御原理,将csrf_token放到session中,再将session放到cookie中

实现:

from flask_wtf import CSRFProtect # flask_wtf 已经提供CSRF的防御手段
CSRFProtect(app) # 绑定app

 

CSRFProtect源码

 

需在要提交数据的页面加:<input type="hidden" name="csrf_token" value="{{ csrf_token() }}">

若未加则会报错

获取并打印csrf_token看一下

 

同理,转账提交也需要添加

 

再次访问病毒网站

数据库信息

访问

访问失败,金额不变

 

posted @ 2019-11-16 16:22  向前走。  阅读(1376)  评论(0编辑  收藏  举报