本教程深入探讨Flask应用中的跨站请求伪造（CSRF）保护机制。我们将阐明CSRF令牌在防范恶意操作中的核心作用，强调其不仅限于已认证用户，对任何改变服务器端状态的请求都至关重要。文章将详细解析GET与POST请求中CSRF保护的适用性，并演示Flask-WTF如何通过简洁的API，包括利用空WTForms，无缝集成CSRF令牌的生成与验证。

理解跨站请求伪造 (CSRF)

跨站请求伪造（CSRF）是一种常见的网络攻击手段，攻击者诱骗用户在已登录状态下，访问恶意网站或点击恶意链接，从而在用户不知情或未经同意的情况下，执行用户在合法网站上本可以执行的操作。由于用户的浏览器会自动携带会话Cookie，合法网站会误以为这些请求是用户自愿发出的。

CSRF攻击示例： 假设您的Flask应用有一个URL，允许用户更改他们的邮箱地址，例如 https://mygreatapp.com/updatemail?email=mail@example.com。 攻击者可以创建一个恶意链接，如 https://mygreatapp.com/updatemail?email=attacker@attacker.com，并诱骗您点击。如果您当时已登录到 mygreatapp.com，您的浏览器会自动将您的会话Cookie发送给该请求。服务器会认为这是一个来自您的合法请求，并会将您的邮箱更改为攻击者的邮箱，从而可能导致您的账户被盗用。

CSRF保护机制： 为了对抗CSRF攻击，通常采用CSRF令牌（token）机制。当用户请求一个包含表单的页面时，服务器会生成一个随机、唯一且与用户会话绑定的CSRF令牌，并将其嵌入到表单的隐藏字段中。当用户提交表单时，服务器会验证提交的令牌是否与会话中存储的令牌匹配。如果令牌不匹配或缺失，服务器就会拒绝该请求，从而阻止攻击。

何时需要CSRF保护？

理解CSRF保护的核心在于识别哪些操作需要它。

1. 认证状态与CSRF

CSRF保护不仅限于已登录用户。 虽然CSRF攻击通常与用户已登录会话相关联，因为浏览器会自动发送会话Cookie，但其必要性并非严格绑定于用户的认证状态。关键在于请求是否会导致服务器端状态的改变。

• 已认证路由： 显然需要CSRF保护，因为攻击者可以利用用户的登录会话执行敏感操作（如修改密码、转账等）。
• 未认证路由： 如果未认证路由允许执行改变服务器端状态的操作（例如，匿名用户提交评论、注册新用户、或通过某些机制影响现有数据），那么这些路由也需要CSRF保护。即使没有用户会话，如果请求能够对系统产生副作用，攻击者也可能利用这种机制进行滥用。 总结： 只要请求可能导致服务器端状态的改变，无论用户是否登录，都应考虑CSRF保护。

2. 请求方法与CSRF

CSRF保护主要针对改变服务器端状态的请求方法。

• GET请求： 通常情况下，GET请求被设计为幂等（idempotent）和安全的，即它们不应改变服务器端状态。因此，GET请求通常不需要CSRF保护。如果您的GET请求正在改变服务器端状态，那是一种不好的设计实践，应将其更改为POST或其他合适的HTTP方法。
• POST/PUT/DELETE请求： 这些HTTP方法通常用于提交数据、更新资源或删除资源，它们会改变服务器端状态。因此，对于这些请求，CSRF保护是至关重要的。

使用Flask-WTF集成CSRF保护

Flask-WTF扩展为Flask应用提供了方便的CSRF保护集成。它依赖于一个在Flask配置中设置的SECRET_KEY来生成和验证CSRF令牌。

配置 Flask-WTF

首先，确保您的Flask应用配置了SECRET_KEY：

from flask import Flask

app = Flask(__name__)
app.config['SECRET_KEY'] = 'your_super_secret_key_here' # 替换为强随机字符串
# 启用Flask-WTF的CSRF保护
app.config['WTF_CSRF_ENABLED'] = True 

使用空WTForms进行CSRF保护

即使您的表单没有任何用户输入字段，您也可以使用Flask-WTF的FlaskForm来生成和验证CSRF令牌。这对于那些仅需确认用户意图或触发某个操作的表单非常有用。

Spell.tools

高颜值AI内容营销创作工具

下载

考虑以下示例：

forms.py

from flask_wtf import FlaskForm

class EmptyForm(FlaskForm):
    """
    一个空的WTForms表单，主要用于生成和验证CSRF令牌。
    """
    pass

routes.py 为了正确演示CSRF保护，我们将把原始问题中的GET请求修改为POST请求，因为CSRF主要用于保护状态变更操作。

from flask import Flask, render_template, request, flash, redirect, url_for
from forms import EmptyForm

app = Flask(__name__)
app.config['SECRET_KEY'] = 'your_super_secret_key_here' # 确保与forms.py中一致
app.config['WTF_CSRF_ENABLED'] = True

@app.route('/random_route', methods=['GET', 'POST'])
def some_route_function():
    form = EmptyForm()
    if form.validate_on_submit(): # 仅当请求方法为POST且CSRF令牌有效时才执行
        # 在这里执行需要保护的服务器端状态变更操作
        flash('表单已成功提交，CSRF令牌验证通过！')
        print("CSRF token validated and form submitted successfully.")
        return redirect(url_for('some_route_function')) # 重定向以避免表单重复提交
    elif request.method == 'POST':
        # 如果是POST请求但form.validate_on_submit()失败，说明CSRF令牌无效或表单其他问题
        flash('CSRF令牌无效或表单提交失败。', 'error')
        print("CSRF token validation failed.")

    return render_template('random_route.html', form=form)

if __name__ == '__main__':
    app.run(debug=True)

templates/random_route.html

    
    
    


    {% with messages = get_flashed_messages(with_categories=true) %}
        {% if messages %}
            

                {% for category, message in messages %}
                    
{{ message }}
                {% endfor %}
            
        {% endif %}
    {% endwith %}

    
 
        
        {{ form.csrf_token }}
        
这是一个随机消息，表单主要用于演示CSRF。
        提交
    

代码解析：

1. forms.py 中的 EmptyForm： 继承自 FlaskForm，即使没有任何字段，它也具备了CSRF令牌生成的能力。
2. routes.py 中的 form.validate_on_submit()：
   • 这个方法会检查请求方法是否为 POST、PUT、PATCH 或 DELETE。
   • 它还会自动验证提交的CSRF令牌是否有效。
   • 如果两者都满足，它返回 True，您就可以安全地执行您的业务逻辑。
   • 如果请求是 POST 但 validate_on_submit() 失败，通常意味着CSRF令牌缺失、过期或无效。
3. random_route.html 中的 {{ form.csrf_token }}：
   • 这行代码由Flask-WTF渲染成一个隐藏的 字段。
   • 这个字段包含了服务器为当前会话生成的CSRF令牌。
4. method="POST"： 确保表单以POST方法提交，这是CSRF保护的标准做法。如果表单仍然使用GET方法，CSRF令牌将作为查询参数暴露在URL中，这既不安全也不是标准实践。

最佳实践与注意事项

1. 始终使用POST进行状态变更： 坚持HTTP方法的语义，使用POST、PUT、DELETE等方法进行会改变服务器状态的操作，并为它们提供CSRF保护。GET请求应保持幂等性。
2. 保护您的 SECRET_KEY： SECRET_KEY 是生成CSRF令牌的基础，必须保密。不要在版本控制中直接暴露它，而是使用环境变量或其他安全配置方式。
3. CSRF令牌的生命周期： Flask-WTF默认生成的CSRF令牌与用户会话绑定。当会话过期时，令牌也会失效。
4. 结合其他安全措施： CSRF保护是多层安全策略中的一环。它并不能替代其他重要的安全措施，如输入验证、XSS（跨站脚本）防护、安全会话管理和适当的访问控制。
5. AJAX请求的CSRF： 对于通过JavaScript发起的AJAX请求，您也需要包含CSRF令牌。Flask-WTF允许您通过 generate_csrf() 函数在JavaScript中获取令牌，并将其作为请求头或请求体的一部分发送。

总结

CSRF保护是现代Web应用不可或缺的安全机制。通过本教程，我们深入探讨了CSRF的原理、其在不同认证状态和请求方法下的适用性，并详细演示了如何利用Flask-WTF及其FlaskForm（包括空表单）来无缝集成CSRF令牌的生成与验证。遵循最佳实践，确保您的Flask应用能够有效抵御CSRF攻击，从而保障用户数据的安全和应用的完整性。