使用 Flask-WTF 防止跨站请求攻击（CSRF）：一份全面指南

在构建 Web 应用时，防止跨站请求攻击（CSRF）是一项至关重要的安全措施。CSRF 攻击允许恶意网站执行未经授权的操作，如用户身份验证或数据篡改。幸运的是，Flask-WTF 库为我们提供了强大的 CSRF 保护功能。在本篇博客中，我们将详细介绍如何在 Flask 应用中使用 Flask-WTF 防止 CSRF 攻击。

一、安装 Flask-WTF

首先，我们需要安装 Flask-WTF 库。打开终端，运行以下命令：

pip install Flask-WTF

二、初始化 Flask-WTF

接下来，在我们的 Flask 应用中导入并初始化 Flask-WTF。打开主应用文件（例如 app.py），添加以下代码：

from flask_wtf import CSRFProtect
 
app = Flask(__name__)
app.config['SECRET_KEY'] = 'your_secret_key'  # 请替换为实际密钥
csrf = CSRFProtect(app)

这里，我们导入了 CSRFProtect 类，并在创建 Flask 应用实例后立即调用它来启用 CSRF 保护。同时，别忘了设置一个安全的 SECRET_KEY。

三、创建表单类

现在，我们需要创建一个表单类来处理用户输入。在这个例子中，我们将创建一个简单的表单，用于接收用户的名字。在表单类中，我们将导入并使用 CSRFProtect。

from flask_wtf import FlaskForm
from wtforms import StringField, SubmitField
from wtforms.validators import DataRequired
class MyForm(FlaskForm):
    name = StringField('Name', validators=[DataRequired()])
    submit = SubmitField('Submit')

四、在 HTML 模板中添加 CSRF 令牌

为了使 Flask-WTF 能够验证 CSRF 令牌，我们需要在 HTML 模板中添加一个隐藏的 CSRF 令牌字段。在你的表单模板中（例如 submit.html），添加以下代码：

<form method="POST" action="/submit">
    {{ form.csrf_token }}
    {{ form.name.label }} {{ form.name }}
    {{ form.submit }}
form>

{{ form.csrf_token }} 会自动渲染一个隐藏的 CSRF 令牌输入框，这对于验证至关重要。

五、验证表单提交

最后，我们需要在视图函数中验证表单提交。打开相应的视图函数文件（例如 views.py），添加以下代码：

from flask import render_template, redirect, url_for
from flask_login import login_required
from . import app, MyForm
 
@app.route('/submit', methods=['GET', 'POST'])
@login_required
def submit():
    form = MyForm()
    if form.validate_on_submit():
        # 处理表单数据
        return redirect(url_for('success'))
    return render_template('submit.html', form=form)

在这里，我们使用 validate_on_submit() 方法来检查表单是否有效。如果有效，该方法将返回 True，并处理表单数据（在这个例子中是重定向到成功页面）。如果无效，它将返回 False，并重新渲染表单模板。

六、总结

通过以上步骤，我们已经成功地在 Flask 应用中实现了 Flask-WTF 的 CSRF 保护功能。这将确保我们的应用在处理表单数据时具有更高的安全性。

使用 Flask-WTF 防止跨站请求攻击（CSRF）：一份全面指南