WTForms文档为implementing CSRF with Flask提供了一个很好的例子:
class MyBaseForm(Form):
class Meta:
csrf = True
csrf_class = SessionCSRF
csrf_secret = app.config['CSRF_SECRET_KEY']
@property
def csrf_context(self):
return session
我想做同样的事情,但是使用webapp2会话而不是Flask会话。
csrf_context
是一种快捷方式,因此您不必在每次创建表单时都传递会话。有谁知道如何为webapp2会话创建这样的快捷方式?
如果没有此快捷方式,则每次创建表单时都需要执行以下操作:
form = MyForm(meta={'csrf_context': self.session})
这是一些非常尴尬的语法,我宁愿避免。
答案 0 :(得分:2)
我提出了一个解决方案,可以减少我问题中描述的尴尬语法。我修改了__init__
的子类wt.Form
,如下所示:
class MyBaseForm(wt.Form):
class Meta:
csrf = True
csrf_class = SessionCSRF
csrf_secret = settings.SESSION_KEY
csrf_time_limit = timedelta(minutes=60)
def __init__(self, *args, **kwargs):
if "session" in kwargs:
super(MyBaseForm, self).__init__(
*args, meta={'csrf_context': kwargs["session"]}, **kwargs)
else:
super(MyBaseForm, self).__init__(*args, **kwargs)
现在,当我创建表单时,我可以这样做:
form = MyForm(session=self.session)
而不是问题中显示的尴尬语法。
为了处理POST表单数据,我找到了另一种简化处理的技术。
首先,我创建一个没有CSRF字段以外的字段的表单:
class NoFieldForm(MyBaseForm):
pass
其次,我创建了一个用于检查CSRF的装饰器:
def check_csrf(func):
def wrapper(*args, **kwargs):
handler = args[0]
session = handler.session
request = handler.request
f = forms.NoFieldForm(request.POST, session=session)
f.validate()
if f.csrf_token.errors:
msg = "The CSRF token expired. Please try again. "
self.session["msg"] = msg
self.redirect(self.request.path)
else:
func(*args, **kwargs)
return wrapper
第三,我装饰了所有的POST处理程序:
class SomeHandler(webapp2.RequestHandler):
@check_csrf
def post(self):
pass
让我解释一下。装饰器(通过调用post webhandler)将接收一些表单数据,但是为了CSRF检查,我们将丢弃除CSRF之外的所有表单数据。我们可以使用NoFieldForm使其成为通用的,它忽略了任何其他存在的表单数据。我使用wtforms进行检查以确保CSRF表单字段和会话令牌匹配,并且会话令牌未过期。
如果CSRF通过,那么我们调用处理程序进行正常处理以处理特定表单。如果CSRF失败,那么我们根本不会调用处理程序,在我的示例中,我们将重定向回到我们来自的地方,并显示错误消息。