Flask-Form表单的使用及其csrf_token的开启使用(六)

最新推荐文章于 2025-06-09 12:28:55 发布
原创 最新推荐文章于 2025-06-09 12:28:55 发布 · 3.6k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flask-form使用 #flask-form-csrf_token使用

本文详细介绍了如何在Flask项目中使用Flask-WTF插件创建和使用表单,包括安装步骤、常用字段及校验方法,以及如何启用和自定义CSRF保护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Django 当中有form类,这个类给开发者提供了相当丰富的校验方式。
Flask和django同样推出了form类的插件,flask-wtf

一、flask form表单的安装和简单字段属性的应用

1、安装flask form插件

pip install flask-wtf

在这里插入图片描述
在这里插入图片描述

2、flask项目主目录下创建forms.py文件
在这里插入图片描述

3、表单常用的字段

字段说明
StringField字符串
IntegerField整型
TextAreaField文本
PasswordField密码
HiddenField隐藏域
DateFieldDatatime.data格式 年月日
DateTimeFieldDatatime.datatime 格式 年月日 时分秒
FloatField小数
RadioField单选
SelectField下拉
FileField文件
SubmitField提交

表单常用的校验

校验参数说明
Email邮件校验
EqualTo比较两个字段的值,常用于密码比较
IPAddressIpv4格式的IP地址
Length长度
NumberRange数字范围
DataRequired空值检查
Url验证是否符合url格式
AnyOf确保输入值在指定范围
NoneOf确保输入的值不在范围

4、在forms.py文件中导入form表单相关模块,并定义一个Form类

import wtforms # 定义字段
from flask_wtf import FlaskForm # 定义表单
from wtforms import validators # 定义校验
from FlaskStudent.models import Course

course_list = [(c.id,c.name) for c in Course.query.all()]

class TeacherForm(FlaskForm):
    """
    form字段的参数
    label=None, 表单的标签
    validators=None, 校验,传入校验的方法
    filters=tuple(), 过滤
    description='',  描述
    id=None, html id
    default=None, 默认值
    widget=None, HTML样式
    render_kw=None, HTML属性 参数
    """

    name = wtforms.StringField(
        label="教师姓名",
        render_kw={
            "class": "form-control",
            "placeholder": "教师姓名"
        },
        validators=[
            validators.DataRequired("姓名不可以为空")
        ]
    )
    age = wtforms.IntegerField(
        label="教师年龄",
        render_kw={
            "class": "form-control",
            "placeholder": "教师年龄"
        },
        validators=[
            validators.DataRequired("年龄不可以为空")
        ]
    )
    gender = wtforms.SelectField(
        label="教师性别",
        render_kw={
            "class": "form-control",
        },
        choices=[
            ("1","男"),
            ("2","女")
        ]
    )
    course = wtforms.SelectField(
        label="学科",
        render_kw={
            "class": "form-control",
        },
        choices=course_list
    )
    submit = wtforms.SubmitField(
        label="提交",
        render_kw={
            "class": "btn btn-primary btn-block",
        },
    )

5、视图路由文件中定义一个视图函数,并实例化表单,用于前端渲染

@app.route("/add_teacher/",methods=["GET","POST"])
def add_teacher():
    teacher_form = TeacherForm()
    return render_template("add_teacher.html",**locals())

6、前端页面,使用变量渲染form类中的字段
在这里插入图片描述
7、页面效果
在这里插入图片描述

二、flask form 中csrf_token 的使用

flask-wtf模块是携带csrf校验的,只是需要开启。在flask form中默认csrf_token 是没有开启的,需要我们手动去启动form表单的csrf_token。

csrf是针对于post请求的跨域限制,对get请求是没有作用的。

1、首先更改form表单的请求方式为post
在这里插入图片描述

2、首先在项目起始位置开启CSRFProtect,也就是main.py

这里注意由于版本问题,现在可以使用csrfProtect,之前版本会更新到CSRFProtect,所以我们现在索性就直接使用CSRFProtect,避免之后出现问题

导入CSRFProtect模块,关联flask应用
在这里插入图片描述

import pymysql
from flask import Flask
from flask import session
from flask_sqlalchemy import SQLAlchemy
from flask_wtf import CSRFProtect # 导入csrf校验模块,csrfProtect在1.0之后移除

pymysql.install_as_MySQLdb()

app = Flask(__name__)

# 关联csrf和flask应用
csrf = CSRFProtect(app)
# 使用类配置加载
app.config.from_object('config.DebugConfig')


# 关联sqlalchemy和flask应用
db = SQLAlchemy(app)

3、然后在前端使用csrf_token就可以了

这里是根据form表单实例去使用csrf_token的

在这里插入图片描述

如果不配置这句话,而程序入口已经开启了应用的CSRF校验,则会在表单提交时报错

在这里插入图片描述

4、前端页面上打开开发者调试模式,查看csrf_token是否已经生成在隐藏域中
在这里插入图片描述

这里注意:

Django中的csrf_token的name名为middlewarecsrftoken
Flask中的csrf_token的name名为csrf_token

三、临时关闭csrf校验

有时候我们有一些功能虽然用的是post请求,但是又不想进行csrf校验,同时其他的一些功能视图还是需要用csrf校验的,这个时候就需要用到csrf内置的功能,临时关闭保护。

针对于指定的单个视图取消csrf的保护

在不需要保护的路由上方加上这句话:
@csrf.exempt

前提是开启CSRF时需要将CSRFProtect使用一个csrf变量实例化

在这里插入图片描述

然后在视图中导入main.py中应用的csrf对象
在这里插入图片描述

最后在不需要保护的视图路由上方加上这句话

这个时候哪怕是程序入口开启了csrf,还有前端页面页使用了表单实例的csrf_token,但是这时候是不会进行csrf的校验的
在这里插入图片描述

from flask import request
from flask import redirect

from flask import render_template
from FlaskStudent.main import app
from FlaskStudent.models import *
from FlaskStudent.main import csrf
from FlaskStudent.main import session
from FlaskStudent.forms import TeacherForm

@csrf.exempt # 临时关闭csrf校验
@app.route("/add_teacher/",methods=["GET","POST"])
def add_teacher():
    teacher_form = TeacherForm()
    return render_template("add_teacher.html",**locals())

四、定义csrf错误页面

就是在form表单提交,csrf校验失败(不通过)的情况下,不进行下面的报错
在这里插入图片描述

而是跳转到指定的错误提示页面。

这里我们需要新建一个错误提示页面:命名为csrf_403.html

{% extends "blank.html" %}

{% block label %}
    403 error
{% endblock %}

{% block container %}
    <div class="text-center">
        <div class="error mx-auto" data-text="403">403</div>
        <p class="lead text-gray-800 mb-5">csrf_token error</p>
        <p class="text-gray-500 mb-0">please check your settings or form,csrf_token is missing ! </p>
    </div>
{% endblock %}

再定义一个csrf_403的路由视图,用于发生校验错误跳转
这里必须传递一个参数reason,也不需要使用它或是返回它。如果不传递,csrf内置代码就识别不了,会报错。

# csrf 如果没有配置跳转的错误页面
# @csrf.error_handler
@app.route("/csrf_403/")
def csrf_tonken_error(reason):
    return render_template("csrf_403.html")

视图路由定义完了,再跟关闭csrf保护一样,在路由上方添加一个装饰器

@csrf.error_handler

添加这句话之后,只要前端提交表单时csrf校验失败,就是跳转到该路由视图指定的页面(该方法使用于所有csrf校验失败的视图)

from flask import request
from flask import redirect

from flask import render_template
from FlaskStudent.main import app
from FlaskStudent.models import *
from FlaskStudent.main import csrf
from FlaskStudent.main import session
from FlaskStudent.forms import TeacherForm

@csrf.exempt # 临时关闭csrf校验
@app.route("/add_teacher/",methods=["GET","POST"])
def add_teacher():
    teacher_form = TeacherForm()
    return render_template("add_teacher.html",**locals())

# csrf 如果没有配置跳转的错误页面
@csrf.error_handler # csrf错误跳转
@app.route("/csrf_403/")
def csrf_tonken_error(reason):
    return render_template("csrf_403.html")

效果:

我现在将add_teacher.html页面上的csrf变量注释掉

在这里插入图片描述
这个时候提交表单

在这里插入图片描述

就会跳转的定义的403页面

在这里插入图片描述

FlaskFlask Form表单
Python、Golang、大数据
03-25 1851
用户执行某些动作后,通常需要在页面显示一个提示消息。函数在内部会把消息存储到 Flask 提供的。再次校验,就能够正常输出不通过校验的信息。函数用来在视图函数里向模板传递提示消息,编写表单组件的代码,这里新建一个。函数则用来在模板中获取提示消息。访问路由,查看是否能够使用。目录,目录结构如下所示。验证邮箱需要单独安装。
Flaskcsrf_token校验
weixin_42218868的博客
08-08 1231
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token开启 1、首先在配置文件中开启CSRFProtect 2、视图中实例化forms类 3、前端使用csrf_token 4、非flask自创的form表单即前端的form表单使用csrf_t...
Flask学习总结笔记(5)-- Form表单
热门推荐
kikaylee的专栏
12-18 1万+
Form表单是Web应用中最基础的一部分。为了能处理Form表单Flask-WTF扩展提供了良好的支持。 0x01 安装 Flask-WTF的安装在前面的博客Flask学习总结笔记(1)– 环境配置中介绍过了: pip install flask-wtf 具体的过程就不再赘述了。 0x02 开启CSRF保护 Flask-WTF提供了对所有Form表单免受跨站请求伪造(Cr...
CSRF Token
最新发布
aheyor的博客
06-09 620
Pikachu的CSRF Token关卡中,若编辑请求未校验TokenToken静态固定,则Burp Suite可直接修改参数完成攻击。A[用户访问表单] --> B[服务端生成Token]欲深入Burp插件配置或Token生成源码,可参考。C --> D[用户提交携带Token的请求]D --> E[服务端校验Token一致性]B --> C[嵌入表单隐藏域/响应头]F -->|是| G[执行操作]F -->|否| H[拒绝请求]用户提交携带Token的请求。E --> F{合法?
Flask表单的介绍与使用
weixin_42577686的博客
05-07 1184
表单操作 简介 表单的操作是Web程序开发中最核心的模块之一,绝大多数的动态交互功能都是通过表单的形式实现的。本文会教大家实现简单的表单操作。 普通表单提交 在创建模板login.html页面中直接写form表单。 login.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" cont
flask使用form表单示例
qq_39112101的博客
08-08 1449
在视图文件当中引入定义好的表单表单参考前文:https://blog.csdn.net/qq_39112101/article/details/98886016 第一次访问视图的时候,就把form表单中定义的内容返回给前台供前台使用,前台提交数据的时候使用request.form.get('form中定义的字段名')来接收参数。 @csrf.exempt #不受csrf影响 ...
flask form表单
kylinxjd的博客
07-04 1万+
flask没有集成的ORM模型,所以要安装第三方form表单的扩展包,当然不使用第三方的也可以。第三方包的功能更多。 一、安装扩展 pip install flask-wtf 二、创建一个form表单类 from flask_wtf import FlaskForm from wtforms import StringField, PasswordField, SubmitField from ...
Flask-WTF表单使用方法
09-19
### Flask-WTF表单使用方法 #### 一、简介 Flask-WTF 是一个针对 Flask 框架设计的表单处理库,它基于 WTForms,并为 Flask 提供了额外的功能,例如 CSRF 保护等。Flask-WTF 的主要用途在于简化表单创建过程中的...
报错:{‘csrf_token‘: [‘The CSRF token is missing.‘]}
m0_53291740的博客
01-22 570
flask实现一个简单的注册界面报错。来包含 CSRF 令牌。
Ajax 使用CSRF tokenFlask /Django交互
LUV_ly_1314的博客
09-03 415
跨站请求伪造也被称为one-click attack 或者 session riding,通常缩写为CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。目前主流的防御方法就是通过Token验证,另外如果前端对存在CSRF防御的服务进行请求,会出现”400 bad request“。在写程序时有时候会让忽略CSRF问题的人莫名其妙,我就是错了好几次(我以为是我的数据格式的问题),看到了浏览器Console才恍然大悟。
Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求
paul0926的博客
07-03 4922
Flask--CSRFToken保护什么是csrfcsrf具体过程csrf保护实现后端写保护表单提交添加保护自定义错误响应和关闭保护ajax提交 前文: 查看官方文档:http://www.pythondoc.com/flask-wtf/csrf.html#id4 什么是csrf 为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包...
flask form表单flask form表单forms.py
04-28
flask form表单
Flask 系列之 FlaskForm
weixin_30443747的博客
03-30 211
通过使用 FlaskForm ,可以方便快捷的实现表单处理。 说明 操作系统:Windows 10 Python 版本:3.7x 虚拟环境管理器:virtualenv 代码编辑器:VS Code 实验目标 通过使用 flask_wtf 进行表单的相关操作,并完成新用户合法性注册。 安装 pip install flask_wtf 使用 首先,我们在 todolist 目录中创建...
基于form表单和ajax提交数据,csrftoken验证
m0_73399600的博客
11-13 890
pass。
Flaskcsrf_token的用法
Allen . Liu
09-23 2873
flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token开启flask开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
django中写form表单csrf_token的作用
weixin_43226574的博客
01-11 781
csrf_token 是为了防止csrf(跨站请求伪造),什么是csrf,这篇文章讲的很好:这里。文章最后也说到了,防止csrf的手段就有给form加个token。 在渲染模板时,django会把 {% csrf_token %} 替换成一个&lt;input type=“hidden”, name=‘csrfmiddlewaretoken’ value=服务器随机生成的token&gt;元...
spring防止F5刷新提交重复表单,为form加入参数token
wen_ke的专栏
09-02 1313
直接上代码. 创建一个类:Form: package form; import java.io.Serializable; import java.util.Date; import org.apache.commons.lang.builder.ToStringBuilder; /** * 表单类 * * @author DigitalSonic */ p
Flask-web表单
qq_29286967的博客
07-07 671
Web表单Web 表单是 Web 应用程序的基本功能。它是HTML页面中负责数据采集的部件。表单有三个部分组成:表单标签表单域、表单按钮。表单允许用户输入数据,负责HTML页面数据采集,通过表单将用户输入的数据提交给服务器。在Flask中,为了处理web表单,我们可以使用 Flask-WTF 扩展,它封装了 WTForms,并且它有验证表单数据的功能WTForms支持的HTML标准字段字段对象说...
发现一款功能强大的 Python 组件 FlaskForm
Python+大数据+数据分析+自动化+Vue组件开发
03-04 2284
Part1:FlaskForm 是什么 说到 FlaskForm,首先得谈谈 WTForms 是什么。 WTForms 是一个 Flask 集成的框架,也可以说是库。用于处理浏览器表单提交的数据。 它在 Flask-WTF 的基础上扩展并添加了一些随手即得的精巧的帮助函数, 这些函数将会使在 Flask使用表单更加有趣。 Flask-WTF 是集成 WTForms,并带有 csrf 令牌的安全表单和全局的 csrf 保护的功能。 每次我们在建立表单所创建的类都是继承于 Flask_WTF 中的
python 导入extract_csrf_token
03-17
<think>好的,我现在需要帮助用户解决如何在Python中导入并使用extract_csrf_token的问题。首先,我需要确认用户提到的extract_csrf_token是什么库或框架中的函数。因为用户提供的引用链接中提到了异步IO和Express的配置,这可能涉及到不同的上下文,比如Python的某个web框架或者第三方库。 首先,我应该回忆常见的Python web框架,比如Django、Flask、Requests等,是否有内置的extract_csrf_token函数。例如,Django有处理CSRF令牌的内置方法,但通常是通过模板标签或中间件,而不是直接调用一个函数。Flask中可能使用Werkzeug的相关函数,但同样,可能不是直接名为extract_csrf_token。 接下来,用户可能引用了某个外部库或自定义函数。比如,可能来自某个第三方包,如requests-html或者其他处理HTML解析的库。也有可能用户参考的教程或文章中提到了自定义的提取方法,比如从HTML表单中解析CSRF令牌的值。 这时候,我需要检查用户提供的引用链接。引用[1]是关于Python异步IO的,可能不相关。引用[2]是关于Express的SSL配置,属于Node.js,所以可能与Python无关。因此,用户可能误引用了这些资料,或者这些引用与当前问题无关,需要用户进一步澄清。 假设用户没有提供正确的引用,我需要基于常见的Python库给出建议。例如,使用BeautifulSoup或lxml来解析HTML并提取CSRF令牌。或者,如果使用Flask-WTF扩展,可以通过表单中的csrf_token字段获取。 另外,可能存在一个名为extract_csrf_token的自定义函数,用户需要导入它。这时候需要确认该函数所在的模块路径,比如是否在项目中的某个文件中,或者是否来自某个安装的包。 因此,回答需要涵盖两种情况:使用第三方库中的函数,或者自定义函数。同时,提醒用户检查是否正确安装了相关库,或者是否正确引用了自定义模块。 最后,需要确保回答结构清晰,步骤明确,并生成相关问题以帮助用户深入理解。</think>在Python中使用`extract_csrf_token`需要根据具体场景选择实现方式。以下是两种典型场景的解决方案: ### 一、使用Web框架内置方法(推荐) 在Flask框架中,CSRF令牌可通过`Werkzeug`的安全模块获取: ```python from werkzeug.security import generate_csrf # 生成CSRF令牌 csrf_token = generate_csrf() ``` 在模板中通过表单标签调用: ```html <input type="hidden" name="csrf_token" value="{{ csrf_token() }}"> ``` ### 二、自定义HTML解析方法 使用`BeautifulSoup`解析HTML并提取CSRF令牌: ```python from bs4 import BeautifulSoup def extract_csrf_token(html_content): soup = BeautifulSoup(html_content, 'html.parser') csrf_input = soup.find('input', {'name': 'csrf_token'}) return csrf_input['value'] if csrf_input else None # 使用示例 with open('form.html') as f: print(extract_csrf_token(f.read())) ``` ### 三、第三方库集成 若使用`requests-html`库处理动态页面: ```python from requests_html import HTMLSession session = HTMLSession() response = session.get('http://example.com/login') csrf_token = response.html.find('input[name=csrf_token]', first=True).attrs['value'] ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孜孜孜孜不倦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值