如何使用flask-wft为restapi禁用视图的csrf?

时间:2019-02-16 02:10:39

标签: python flask flask-wtforms flask-restful

我在使用restapi的flask-wtf禁用csrf时遇到问题。问题类似于此处的Flask-Restful POST fails due CSRF protection of Flask-WTF,但我使用的是原始烧瓶,而不是静止烧瓶。

我使用的是@csrf.exemptdecorator,我确实像文档一样,但是仍然不能禁用csrf。这是我的代码,你知道是什么问题吗?

myApp.py 

from flask import Flask, request, jsonify
from flask_sqlalchemy import SQLAlchemy
from flask_wtf import FlaskForm
from wtforms import StringField
from flask_wtf.csrf import CSRFProtect

app = Flask(__name__)    
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///test.db'
app.config['SECRET_KEY'] = "secret"

db = SQLAlchemy(app)

csrf = CSRFProtect(app) # initialize the csrf protect

class User(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String())

class myForm(FlaskForm):
    username = StringField("user name")

@app.route("/check", methods=['POST'])    
@csrf.exempt # why this code doesn't work???!!! :(
def check():
    form = myForm(request.form)

    if form.validate():
        user = User(username=form.username.data)
        db.session.add(user)
        db.session.commit()
        return jsonify(message="user saved!"), 200
    else:
        return jsonify(message=form.errors), 404

if __name__ == '__main__':
    app.run(debug=True)

我的邮递员总是返回:

{
    "message": {
        "csrf_token": [
            "The CSRF token is missing."
        ]
    }
}

2 个答案:

答案 0 :(得分:3)

您可以在构造函数中将meta = {'csrf':False}作为参数传递

form = myForm(request.form, meta={'csrf': False})

答案 1 :(得分:2)

FlaskForm.validate()似乎是返回该错误的人,即尝试

form = myForm(request.form, csrf_enabled=False)


class myForm(FlaskForm):
    class Meta:
        csrf = False

     username = StringField("user name")

csrf_enabled起已弃用。

从文档中

  

任何使用FlaskForm来处理请求的视图都已获得CSRF保护。

相关问题
最新问题