#!/usr/bin/envpython#-*-coding:utf-8-*-fromflaskimportBlueprint,render_templatefromflask_uploadsimportUploadSet,IMAGESfromflask_wtfimportFlaskFormfromflask_wtf.fileimportFileRequired,FileField,FileAll

警戒自己最近在看pythonflask框架相关的技能点，看的过程中发现了flask和前端整合的一些框架模块，比如flask-bootstrap、flask_wtf这些，初看这几个模块的时候内心一直是抗拒的

一、前言《CSRF防范介绍之一》我们介绍了使用Flask搭建CSRF攻击的钓鱼网站，主要是利用Form表单能跨域提交获取cookie值的漏洞，这节我们再来介绍一下使用Flask_wtf的自带的一套CSRF

表单提交后，提交的内容符合DataRequired()校验，但是form.validate_on_submit()返回的是False，原因可能是表单模板中的中没有指明请求的方法'get'或'post'flask_wtf

出现这种问题的原因如下：1、html文件的中的method改为post方法。2、html文件中加入csrf保护：hidden.tag()或者csrf_token(){{form.hidden_tag()}}{{form.name.label}}{{form.name()}}{{form.pwd.label}}{{form.pwd}}{{form.submit()}}或者{{form.name.la

POST的form中，在服务端渲染表单盛行（struts，flask_wtf）的年代，登陆，注册等基本都是把用户填写的信息放在form中。

路由二、常用的HTTP方法三、构造URL函数四、MVC设计模型五、渲染模板六、模板变量七、模板过滤器八、模板控制结构九、模板的继承十、Web表单十一、WTForms实现表单验证十二、防止CSRF攻击和flask_wtf

Flask第三集Flask_WTF扩展可以处理web表单。使用Flask-WTF时，每个Web表单都由一个继承自Form的类表示。

文章目录简介管理员登录标签管理电影管理电影预告管理会员管理评论管理电影收藏管理员密码修改日志管理操作日志管理员登录日志会员登录日志小结简介这一部分要实现具体的后台管理逻辑基本逻辑如下：管理员登录将之前models中数据库的认证部分移动到app初始化文件中这一节的大部分内容都是参考前端页面进行的，这也是为什么上一节先搭建页面flask中所有表单提交验证使用flask_wtf

0x01csrftoken生成源文件位于flask_wtf/csrf.pydefgenerate_csrf(secret_key=None,token_key=None):secret_key=_get_config

通过在render_kw这个变量中，建立键值对，在生成表单后，键值对中的内容就会生成在最后生成的表单中。使用示例：classSliderImgUploadForm(FlaskForm):files=FileField('请选择要上传的图片',validators=[DataRequired(),FileAllowed(IMAGES)],render_kw={"required":'required

WTForms支持的HTML标准字段字段类型说明StringField文本字段TextAreaField多行文本字段PasswordField密码文本字段HiddenField隐藏文本字段DateField文本字段，值为datetime.date格式DateTimeField文本字段，值为datetime.datetime格式IntegerField文本字段，值为整数DecimalField文本字

1、直接通过url中传递，但这样非常不安全，所有数据明文显示在URL中。2、在view视图中直接设置默认值。3、将数据保留在session中中转传递

fromflask_wtfimportFlaskFormfromflask_wtf.fileimportFileField,FileRequired,FileAllowed#新的文件表单控件使用,但是非空效果还是原来的小弹框展示fromflask_uploadsimportIMAGESfromwtformsimportStringField,PasswordField,IntegerField,D

utf8fromflaskimportrender_templatefromflask.ext.wtfimportFlaskFormfromwtformsimport*fromwtforms.validatorsimportDataRequired,EqualTo"""flask_WTF

一、本文中使用了flask框架中的flask_script、flask_migrate、flask_sqlalchemy及flask_wtf表单校验二、项目目录结构:|--app.py[项目入口文件的简称

Flask项目实现防止CSRF攻击的流程a)使用flask_wtf中CSRFProtect类，初始化该类并传入appb)使用flask_wtf.csrf模块中的generate_csrf方法生成csrf_tokenc

coding=utf-8fromflaskimportFlask，render_template，request#render_template为模板fromconfigimportConfig#导入flask_wtf

【python学习问题笔记3】在使用pyCharm中创建flask的项目时，由于要使用表单文件而引入了flask_wtf的库，IDE显示unresolvedreference"flask_wtf由于pyCharm

具体内容：首先请确认环境安装了flask_wtf插件，如果未安装在环境中使用pip安装方式安装即可；具体使用步骤如下：#coding:utf-8fromflaskimportFlask,render_template

一flask_wtf与flask_bootstrapflask_wtf表单处理上一篇博客中提出flask_wtf是用来处理表单数据的，而其中表单类型（StringField、PasswordField、

#如果要用flask_wtf模块,SECRET_KEY就必须设

Flask_wtf是Flask的一个表单扩展，对于表单验证比较方便。当然刚看了Flaskweb开发的前4章，很多东西还不是很懂，今天才知道。

每次我们在建立表单所创建的类都是继承与flask_wtf中的FlaskForm，而Flas

flask_wtf和wtforms提供了flask的表单支持各种类型的输入框StringField,TextField,BooleanField,SubmitField等等label属性也包含在这里validators

flask-wtf提供了一个包，可以创建表单：pipinstallflask-wtf为了防止跨域请求，flask_wtf自己生成一个秘钥，用秘钥生成加密口令，然后用口令验证表单中的数据真伪（是否被篡改过

flask_wtf是flask框架的表单验证模块，可以很方便生成表单，也可以当做json数据交互的验证工具，支持热插拔。

一、Flask_WTF表单和CSRF保护安装语句：pipinstallflask-wtfCSRF保护app=Flask(__name__)#设置app的config字典app的config字典用来存储框架

知道如何通过使用插件来处理应用中的表单，以后在开发过程中也能够更熟练地使用Flask_WTF插件实现表单相关的处理逻辑。

#######Flask框架#########flask-bootstrap#如何在flask中使用Bootstrap要想在程序中集成Bootstrap，显然要对模板做所有必要的改动。不过，更简单的方法是使用一个名为Flask-Bootstrap的Flask扩展，简化集成的过程。初始化Flask-Bootstrap之后，就可以在程序中使用一个包含所有Bootstrap文件的基模板。这个模板利用Ji

额外：为添加文章（classNovel）添加编辑器支持：由于之前使用的flask_wtf的快速渲染，在没有编辑器的情况下码文章那叫一个蛋疼，所以为文章内容添加编辑器支持简单搜索了一下没能搜索到相应的方案

app.py--forms.pyfrom flask_wtf import formfrom wtforms import TextAreaFieldfrom wtfforms.validators import

Flask-wtf+Flask-bootstrap简简单单用一条语句就能让jinja2渲染出form：wtf.quick_form(form)但如果要实现自定义的表单样式，如下图，怎么做呢？LiveDemo:http://tianya.heroku.com/wtf自定义错误提示：很简单，修改3个地方就行：forms.pyclassCommentForm(Form):name=StringField