CSRF 跨站请求伪造 原理及解决方案

1.什么是CSRF       

  CSRF全拼为Cross Site Request Forgery，译为跨站请求伪造。

  CSRF指攻击者盗用了你的身份，以你的名义发送恶意请求。

    包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......

     造成的问题：个人隐私泄露以及财产安全。

2. CSRF具体流程：

 3.如何防止CSRF攻击 

1. 在客户端向后端请求界面数据的时候，后端会往响应中的 cookie 中设置 csrf_token 的值
2. 在 Form 表单中添加一个隐藏的的字段，值也是 csrf_token
3. 在用户点击提交的时候，会带上这两个值向后台发起请求
4. 后端接受到请求，以会以下几件事件：
   • 从 cookie中取出 csrf_token
   • 从 表单数据中取出来隐藏的 csrf_token 的值
   • 进行对比
5. 如果比较之后两值一样，那么代表是正常的请求，如果没取到或者比较不一样，代表不是正常的请求，不执行下一步操作

 4.在flask项目中如何解决CSRF

           Flask 中， Flask-wtf 扩展有一套完善的 csrf 防护体系，对于我们开发者来说，使用起来非常简单

      演示代码如下：

        设置应用程序的 secret_key

        用于加密生成的 csrf_token 的值   

         只需要在写好的前端表单代码中在加一行{{form.csrf_token()}}

app.secret_key = "#此处可以写随机字符串#"

<form method="post">
    {{ form.csrf_token() }}
    {{ form.username.label }} {{ form.username }}<br/>
    {{ form.password.label }} {{ form.password }}<br/>
    {{ form.password2.label }} {{ form.password2 }}<br/>
    {{ form.submit }}
</form>