flask中CSRF保护机制

如果是发送from表单, 则使用原来的隐藏表单的形式(生成&派发令牌)

<form method="post" action="/">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
form>

如果是AJAX的POST请求, 则使用meta标签记录令牌, 并在ajax的请求头中设置令牌

<meta name="csrf-token" content="{{ csrf_token() }}">
var csrftoken = $('meta[name=csrf-token]').attr('content')

$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken)
        }
    }
})

开启CSRF保护 (如果想要使用POSTMAN测试POST请求, 需要注释CSRF校验过程)

def protect(self):
	if request.method not in current_app.config['WTF_CSRF_METHODS']:
		return
	try:
		# 如果想用postman测试,则注释下一行代码
		validate_csrf(self._get_csrf_token())
		pass
	except validationError as e:
		logger.info(e.args[0])
		self._error_response(e.args[0])