#转载请留言联系
1. CSRF是什么?
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......- 造成的问题:个人隐私泄露以及财产安全。
2.CSRF攻击示意图
原理其实很简单。举个简单的例子。A是一个很有钱的人,B是专门帮人托管钱的人,相当于银行的角色,C是偷窃者。A和B约定,有人叫你给钱你就给钱。A把钱放在B那里。平时A就去问B拿钱,B就直接给钱给他。某一天,C也问一下B拿钱,B也直接给钱给C了,C这时候就相当于偷了A的钱。这就是csrf的攻击原理。
解决办法的原理也很简单,就是A和B约定一下暗号,C来问B拿钱时,对不上暗号,自然就拿不到钱了。
3.代码
(1)模拟CSRF攻击
(2)阻止CSRF攻击
(3)用 flask 的flask_wtf 模板实现阻止 CSRF 攻击
(1)(2)代码保存在:https://github.com/chichungceng/CSRF
有兴趣可以看看
(3)比较简单,代码如下:
from flask import Flask from flask import render_template from flask.ext.wtf import CSRFProtect app = Flask(__name__) app.secret_key = "436fs3424123+=)%$$#l54,5" # 随便写 # 让当前flask应用激活csrf防范机制 CSRFProtect(app) @app.route('/') def index(): return render_template('transfer.html') if __name__ == '__main__': app.run(debug=True, port=8000)
然后在表单里面加入一句语句就行了。
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action=""> <input type="hidden" name="csrf_token" value="{{csrf_token()}}"> <--这一句 </form> </body> </html>
这样操作后就可以自动增加 token 了,比较轻松。