WTForms双重POST提交预防刷新flask-wtf

时间:2012-05-07 04:53:11

标签: python flask wtforms double-submit-prevention

我使用带有Flask-WTF扩展名的WTForms和Flask

我的表单如下:

class CommentForm(Form):
    body = TextAreaField('Body', [validators.Length(min=4, max=300)])
    entity_id = HiddenField('Entity ID', [validators.required()])

Jinja2模板:

 <form method="POST" action="{{ request.url }}#comment-question" id="comment-question">
     <div>{{ comment_form.body }} <button type="submit">Submit</button></div>
     {{ comment_form.entity_id(value=question.id) }}
     {{ comment_form.hidden_tag() }}
 </form>

呈现形式:

<form method="POST" action="http://localhost:5000/answers/1/question-0#comment-question" id="comment-question">
  <div><textarea id="body" name="body"></textarea> <button type="submit">Submit</button></div>
  <input id="entity_id" name="entity_id" type="hidden" value="1">
  <div style="display:none;"><input id="csrf_token" name="csrf_token" type="hidden" value="20120507081937##ee73cc3cfc053266fef78b48cc645cbf90e8fba6"><input id="entity_id" name="entity_id" type="hidden" value=""></div>
</form>

是否可以在不更改“操作”表单并进行重定向的情况下阻止浏览器刷新按钮上的双重表单提交?

1 个答案:

答案 0 :(得分:4)

我没有太多使用WTForms或Flask的经验,但Django基于类的视图通过在POST后重定向来防止双重发布,所以我假设执行重定向是这种方式的方法。

一种替代方法是生成唯一标记并将其附加到表单参数(非常类似于CSRF标记)。缓存此值并在表单提交时进行检查。 Django can be found here的一个相当原始的例子。

编辑:示例代码

虽然我真的只是在成功提交表单后执行重定向,但这里有一个生成表单标记的示例,该标记从this Flask snippet on CSRF protection大量借用:

# yourapp/views/filters.py

import random
from string import ascii_letters, digits

from flask import request, session, redirect
from yourapp import app


def generate_form_token():
    """Sets a token to prevent double posts."""
    if '_form_token' not in session:
        form_token = \
            ''.join([random.choice(ascii_letters+digits) for i in range(32)])
        session['_form_token'] = form_token
    return session['_form_token']


@app.before_request
def check_form_token():
    """Checks for a valid form token in POST requests."""
    if request.method == 'POST':
        token = session.pop('_form_token', None)
        if not token or token != request.form.get('_form_token'):
            redirect(request.url)


app.jinja_env.globals['form_token'] = generate_form_token

在你的模板中:

<!-- Again, I've never used WTForms so I'm not sure if this would change when using that app. -->
<input type='hidden' name='_form_token' value='{{ form_token() }}' />

请注意,在the snippet中使用CSRF保护方法也可以实现几乎相同的效果(尽管上面的代码执行重定向,而代码段返回403)。

但这确实引出了一个问题 - 如果你在无效令牌上执行重定向,为什么不摆脱所有这些复杂性并只是重定向成功提交表单?

相关问题
最新问题