六十五:CSRF攻击与防御之CSRF防御之form表单防御
防御原理,将csrf_token放到session中,再将session放到cookie中
实现:
from flask_wtf import CSRFProtect # flask_wtf 已经提供CSRF的防御手段
CSRFProtect(app) # 绑定app
CSRFProtect源码
需在要提交数据的页面加:<input type="hidden" name="csrf_token" value="{{ csrf_token() }}">
若未加则会报错
获取并打印csrf_token看一下
同理,转账提交也需要添加
再次访问病毒网站
数据库信息
访问
访问失败,金额不变