在flask当中，flask-wtf模块时携带csrf校验的，只是需要开启；
如果不开启校验就不需要校验，但是那样不安全。
Csrf是针对与post请求的跨域限制，get请求没有作用
csrf_token的开启
 

在flask中开启csrf保护

from flask_wtf.csrf import CsrfProtect
CsrfProtect(app)

csrf也支持惰性加载

from flask_wtf.csrf import CsrfProtectcsrf = CsrfProtect()def create_app():app = Flask(__name__)csrf.init_app(app)

注意: csrf保护需要app设置盐 app.config["SECRET_KEY"]

使用表单提交请求添加验证方法:

在表单中添加csrf验证

方式一:
<form method="post" action="">{{ form.csrf_token }}
</form>
方式二:(推荐)
<form method="post" action="/"><input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

csrf不通过会返回400响应

你可以自定义返回的页面

@csrf.error_handler
def csrf_error(reason):return render_template('csrf_error.html', reason=reason), 400

如果你想要某些路由不进行csrf验证,使用csrf.exempt放弃验证

@csrf.exempt
@app.route('/foo', methods=('GET', 'POST'))
def my_handler():# ...return 'ok'

使用ajax提交请求

方法一:

# 首先在html文件里面的head标签里面添加meta标签
<meta name="csrf-token" content="{{ csrf_token() }}">
# 然后在script里面使用jquery获取
<script type="text/javascript">
var csrftoken = $('meta[name=csrf-token]').attr('content')
$.ajaxSetup({beforeSend: function(xhr, settings) {if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {xhr.setRequestHeader("X-CSRFToken", csrftoken)}}
})
</script>

方法二:

<script type="text/javascript">
var csrftoken = "{{ csrf_token() }}"$.ajaxSetup({beforeSend: function(xhr, settings) {if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {xhr.setRequestHeader("X-CSRFToken", csrftoken)}}
})
</script>

 

1、首先在配置文件中开启CSRFProtect

 

 

2、视图中实例化forms类

 

 

3、前端使用csrf_token

 

 

4、非flask自创的form表单即前端的form表单使用csrf_token的方式

切记要在后面加括号
 

 

5、ajax的post请求中使用csrf_token

 

 

6、@csrf.exempt单个视图免除csrf_token校验