Flask 中 AJAX 身份验证的 CSRF 保护

Question

我想对网站上的登录和注册表单进行 AJAXify。到目前为止，我一直在使用 WTForms 主要是为了它内置的 CSRF 保护，但对于这个项目，我觉得它不值得——额外的抽象层，因此很沮丧，因为它应该很漂亮很简单。

所以我在 Flask 的安全部分遇到了this snippet：

@app.before_request
def csrf_protect():
    if request.method == "POST":
        token = session.pop('_csrf_token', None)
        if not token or token != request.form.get('_csrf_token'):
        abort(403)

def generate_csrf_token():
    if '_csrf_token' not in session:
        session['_csrf_token'] = some_random_string()
    return session['_csrf_token']

app.jinja_env.globals['csrf_token'] = generate_csrf_token

我了解这段代码背后的思考过程。事实上，这一切对我来说都很有意义（我认为）。我看不出有什么问题。

但它不起作用。我对代码所做的唯一更改是将伪函数some_random_string() 替换为对os.urandom(24) 的调用。到目前为止，每个请求都有 403，因为 token 和 request.form.get('_csrf_token') 永远不会相同。当我打印它们时，这变得很明显——通常它们是不同的字符串，但偶尔，并且似乎没有根本原因，一个或另一个将是None 或os.urandom(24) 输出的截断版本。显然有些东西不同步，但我不明白它是什么。

Answer 1

我认为你的问题是 os.urandom 函数。此函数的结果可能包含无法在 html 中正确解析的符号。因此，当您在 html 中插入 csrf_token 并且不进行任何转义时，您就会遇到所描述的问题。

如何解决。 尝试在 html (see docs) 中转义 csrf_token 或使用其他方法生成 csrf 令牌。例如使用 uuid：

import uuid
...

def generate_random_string():
    return str(uuid.uuid4())
...

Answer 2

您可以获得flask-wtf 的便利，而无需繁重，也无需自己动手：

from flask_wtf.csrf import CsrfProtect

然后在初始化时：

CsrfProtect(app)

或：

csrf = CsrfProtect()

def create_app():
    app = Flask(__name__)
    csrf.init_app(app)

令牌将在任何时候在应用范围内可用，包括通过jinja2：

<form method="post" action="/">
  <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

（通过docs）