Dav*_*ite 7 python session flask wtforms flask-wtforms
一个看似简单的错误——由于“CSRF 令牌丢失”错误而无法通过的表单提交——已经变成了令人费解的一天。我已经阅读了所有与 Flask 或 Flask-WTF 相关的 SO 文章,并且缺少 CSRF 令牌,但似乎没有任何帮助。
以下是详细信息:
如果出现以下情况,Flask-WTF CSRF 基础设施将拒绝令牌:
1)令牌丢失。不是这里的情况,您可以在表单中看到令牌。
令牌肯定存在于我的表单中,并且已成功发布
2)它太旧了(默认过期时间设置为 3600 秒,或一个小时)。在表单上设置 TIME_LIMIT 属性以覆盖它。可能不是这里的情况。
对我来说也可以 - 令牌完全在默认到期时间内
3) 如果在当前会话中没有找到 'csrf_token' 密钥。您显然可以看到会话令牌,所以这也是。
就我而言, session['csrf_token'] 已正确设置并被 Flask 看到
4)如果HMAC签名不匹配;签名基于会话中在“csrf_token”密钥下设置的随机值、服务器端机密和令牌中的到期时间戳。
这是我的问题。提交表单的 CSRF 和会话 CSRF 之间的 HMAC 比较失败。然而我不知道如何解决它。我已经非常绝望(就像其他提问者一样)深入研究 Flask-WTF 代码并设置调试消息以找出发生了什么。据我所知,它是这样工作的:
1)generate_csrf_token()在“form.py”(Flask-WTF)中想要生成一个CSRF令牌。所以它调用:
2)generate_csrf()在“csrf.py”中。如果不存在,该函数会生成一个新的 session['csrf_token']。 在我的情况下,这总是发生- 尽管其他会话变量似乎在请求之间持续存在,但我的调试显示在请求开始时我的会话中从未有“csrf_token”。这是正常的吗?
3)当我在模板上呈现隐藏字段时,生成的令牌被返回并可能合并到表单变量中。(再次,调试显示此令牌存在于表单中并正确提交和接收)
4) 接下来,提交表单。
5) 现在,validate_csrf在 csrf.py 中被调用。但是由于发生了另一个请求,并且 generate_csrf() 生成了一个新的会话 CSRF 令牌,这两个令牌(在会话中和来自表单中)的两个时间戳将不匹配。由于 CSRF 部分由到期日期组成,因此验证失败。
我怀疑问题出在步骤 #2 中,其中为每个请求生成一个新令牌。但是我不知道为什么我的会话中的其他变量会从一个请求到另一个请求持续存在,而不是“csrf_token”。
SECRET_KEY 或 WTF_CSRF_SECRET_KEY 也没有任何奇怪之处(它们已正确设置)。
谁有想法?
小智 8
无需经历上述漫长的过程,只需将以下 jinja 代码添加{{ form.csrf_token }}到表单的 html 一侧,这样就可以解决“CSRF 令牌丢失”错误。所以在 HTML 方面,它看起来像这样:
<form action="{{url_for('signup')}}" method="POST">
{{ form.csrf_token }}
<fieldset class="name">
{{ form.name.label}}
{{ form.name(placeholder='John Doe')}}
</fieldset>
.
.
.
{{ form.submit()}}
我想到了。它似乎是一个 cookie/会话限制(这可能超出了 Flask 的控制)和在达到限制时静默丢弃会话变量(这看起来更像是一个错误)。
下面是一个例子:
模板/你好.html
<p>{{ message|safe }}</p>
<form name="loginform" method="POST">
{{ form.hidden_tag() }}
{{ form.submit_button() }}
</form>
我的应用程序
from flask import Flask, make_response, render_template, session
from flask_restful import Resource, Api
from flask_wtf import csrf, Form
from wtforms import SubmitField
app = Flask(__name__)
app.secret_key = '5accdb11b2c10a78d7c92c5fa102ea77fcd50c2058b00f6e'
api = Api(app)
num_elements_to_generate = 500
class HelloForm(Form):
submit_button = SubmitField('Submit This Form')
class Hello(Resource):
def check_session(self):
if session.get('big'):
message = "session['big'] contains {} elements<br>".format(len(session['big']))
else:
message = "There is no session['big'] set<br>"
message += "session['secret'] is {}<br>".format(session.get('secret'))
message += "session['csrf_token'] is {}<br>".format(session.get('csrf_token'))
return message
def get(self):
myform = HelloForm()
session['big'] = list(range(num_elements_to_generate))
session['secret'] = "A secret phrase!"
csrf.generate_csrf()
message = self.check_session()
return make_response(render_template("hello.html", message=message, form=myform), 200, {'Content-Type': 'text/html'})
def post(self):
csrf.generate_csrf()
message = self.check_session()
return make_response("<p>This is the POST result page</p>" + message, 200, {'Content-Type': 'text/html'})
api.add_resource(Hello, '/')
if __name__ == '__main__':
app.run(debug=True)
num_elements_to_generate设置为 500运行它,你会得到这样的东西:
session['big'] contains 500 elements
session['secret'] is 'A secret phrase!'
session['csrf_token'] is a6acb57eb6e62876a9b1e808aa1302d40b44b945
和“提交此表单”按钮。点击按钮,你会得到:
This is the POST result page
session['big'] contains 500 elements
session['secret'] is 'A secret phrase!'
session['csrf_token'] is a6acb57eb6e62876a9b1e808aa1302d40b44b945
一切都很好。但是现在更改num_elements_to_generate为 3000,清除您的 cookie,重新运行应用程序并访问该页面。你会得到类似的东西:
session['big'] contains 3000 elements
session['secret'] is 'A secret phrase!'
session['csrf_token'] is 709b239857fd68a4649deb864868897f0dc0a8fd
和“提交此表单”按钮。点击按钮,这次你会得到:
This is the POST result page
There is no session['big'] set
session['secret'] is 'None'
session['csrf_token'] is 13553dce0fbe938cc958a3653b85f98722525465
存储在会话变量中的 3,000 位数字太多,因此会话变量不会在请求之间持续存在。有趣的是,它们确实存在于第一页的会话中(无论您生成多少个元素),但它们不会在下一个请求中继续存在。而 Flask-WTF,因为csrf_token在表单发布时它没有在会话中看到 a ,所以会生成一个新的。如果这是表单验证步骤,CSRF 验证将失败。
这似乎是一个已知的 Flask(或 Werkzeug)错误,这里有一个拉取请求。我不确定为什么 Flask 没有在此处生成警告 - 除非它在技术上不可行,否则当 cookie 太大时,它会悄悄地未能保留会话变量,这是一个意外且令人不快的惊喜。
| 归档时间: |
|
| 查看次数: |
12460 次 |
| 最近记录: |