Flask從入門到精通之跨站請求偽造保護

2022-03-28 03:38:44 字數 370 閱讀 7342

預設情況下,flask-wtf 能保護所有表單免受跨站請求偽造(cross-site request forgery,csrf)的攻擊。惡意**把請求傳送到被攻擊者已登入的其他**時就會引發csrf 攻擊。

為了實現csrf 保護,flask-wtf 需要程式設定乙個金鑰。flask-wtf 使用這個金鑰生成加密令牌,再用令牌驗證請求中表單資料的真偽。設定金鑰的方法如下所示:

'secret_key

'] = '

hard to guess string

'secret_key 配置變數是通用金鑰,可在flask 和多個第三方擴充套件中使用。如其名所示,加密的強度取決於變數值的機密程度。不同的程式要使用不同的金鑰,而且要保證其他人不知道你所用的字串。

Flask從入門到精通之flask擴充套件

flask被設計成可擴充套件形式,因此並沒有提供一些重要的功能,比如資料庫和使用者認證,所以開發者可以自由選擇最適合程式的包,或者按需求自行開發。社群成員開發了大量不同用途的擴充套件,如果這還不能滿足需求,你還可使用所有python 標準包或 庫。為了讓你知道如何把擴充套件整合到程式中,接下來我們將...

Flask從入門到精通之flask安裝

安裝flask最簡單的方式是使用虛擬環境,虛擬環境是python直譯器的乙個私有副本,在這個環境中你可以安裝私有包,而且不會影響系統中安裝的全域性的python直譯器。虛擬環境非常有用,可以在系統的python 直譯器中避免包的混亂和版本的衝突。為每個程式單獨建立虛擬環境可以保證程式只能訪問虛擬環境...

Flask從入門到精通之flask程式入門

所有flask程式都必須建立乙個程式例項,web伺服器使用一種名為web伺服器閘道器介面的的協議 wsgi 把接收自客戶端的所有請求 給這個物件處理。程式例項是flask類的物件,使用下面 構建 from flask import flaskflask類的建構函式只有乙個必須指定的引數,即程式主模組...