Ошибка проверки формы из-за отсутствия CSRF

Несколько дней назад у меня есть reset моя локальная фляга без захвата зависимостей через pip freeze, прежде чем я удалю ее. Поэтому мне пришлось переустановить последнюю версию всего пакета.

Теперь, когда я сижу, я больше не могу проверять формы. Заявки на фляжи CSRF будут отсутствовать.

def register():
    form = RegisterForm()
    if form.validate_on_submit():
       ...
    return make_response("register.html", form=form, error=form.errors)

При первом отправке Get я получаю пустой form.errors, как и ожидалось. Теперь я заполняю форму и отправлю ее, а form.errors показывает: {'csrf_token': [u'CSRF token missing']}

Это так странно. Интересно, изменилась ли Flask-WTF, и я неправильно ее использую.

Я отчетливо вижу, что существует form.CSRF_token, так почему он утверждает, что он отсутствует?

CSRFTokenField: <input id="csrf_token" name="csrf_token" type="hidden" value="1391278044.35##3f90ec8062a9e91707e70c2edb919f7e8236ddb5">

Я никогда не касался рабочего шаблона, но я размещаю его здесь тем не менее:

{% from "_formhelpers.html" import render_field %}
{% extends "base.html" %}
{% block body %}
<div class="center simpleform">
    <h2>Register</h2>
    {% if error %}<p class=error><strong>Error:</strong> {{ error }}{% endif %}
    <form class="form-signin" action="{{ url_for('register') }}" method=post>
        {{form.hidden_tag()}}
        <dl>
            {{ render_field(form.name) }}
            {{ render_field(form.email) }}
            {{ render_field(form.password) }}
            {{ render_field(form.confirm) }}
            <dd><input type=submit value=Register class='btn btn-primary'>
        </dl>
    </form>
</div>
{% endblock %}

Является ли это новой ошибкой?

UPDATE:

Я переустановил все, и проблема не устранена.

Как предположил Мартийн, я отлаживаю следующий метод в flask_wtf:

def validate_csrf_token(self, field):
        if not self.csrf_enabled:
            return True
        if hasattr(request, 'csrf_valid') and request.csrf_valid:
            # this is validated by CsrfProtect
            return True
        if not validate_csrf(field.data, self.SECRET_KEY, self.TIME_LIMIT):
            raise ValidationError(field.gettext('CSRF token missing'))

Последнее условие вызывает ошибку проверки.

field.data = "1391296243.8##1b02e325eb0cd0c15436d0384f981f06c06147ec"
self.SECRET_KEY = None (? Is this the problem)
self.TIME_LIMIT = 3600

И вы были правы, сравнение HMAC не удалось.... оба значения в каждый раз разные.

return hmac_compare == hmac_csrf

У меня есть как SECRET_KEY, так и CSRF_SESSION_KEY в моей конфигурации.

ОТВЕТЫ

Ответ 1

Инфраструктура CSRF Flask-WTF отклоняет токен, если:

  • отсутствует токен. Не здесь, вы можете увидеть токен в форме.

  • он слишком старый (по умолчанию для истечения срока действия установлено 3600 секунд или час). Установите атрибут TIME_LIMIT для форм, чтобы переопределить это. Вероятно, здесь не так.

  • если в текущем сеансе отсутствует ключ 'csrf_token'. По-видимому, вы можете видеть токен сеанса, так что тоже.

  • Если подпись HMAC не соответствует; подпись основана на случайном значении, установленном в сеансе под ключом 'csrf_token', секретной стороне сервера и временной меткой истечения срока действия в токене.

Устраняя первые три возможности, вам нужно проверить, почему 4-й шаг выходит из строя. Вы можете отладить проверку в файле flask_wtf/csrf.py в функции validate_csrf().

Для вашей установки вам необходимо убедиться, что настройка сеанса верна (особенно если вы не используете конфигурацию сеанса по умолчанию) и что вы используете правильную секретность на стороне сервера. Сама форма может иметь атрибут SECRET_KEY, но нестабильна для всех запросов, или изменилось приложение WTF_CSRF_SECRET_KEY (последнее по умолчанию соответствует значению app.secret_key).

Поддержка CSRF была добавлена ​​в версии 0.9.0, если вы обновили ее, просмотрите конкретную документацию по защите CSRF. Стандартный класс Flask-WTF Form включает токен CSRF в качестве скрытого поля, при этом скрытые поля достаточно для его включения:

{{ form.hidden_tag() }}

Ответ 2

Наконец-то я нашел проблему после почти дня работы над ней.:( Большое спасибо Мартину, хотя за его помощь.

Реальная проблема заключается в том, как работает последний flask_wtf.csrf. Изготовители полностью отреагировали на это.

Вы должны заменить все {{form.hidden_tag()}} в своих шаблонах <input type="hidden" name="csrf_token" value="{{ csrf_token() }}"/>.

И теперь вы должны включить защиту CSRF явно, добавив CsrfProtect(app).

Документация теперь явно отражает это, но я не знал, что это изменилось и преследовало призраков.

Это большая проблема с устаревшей функциональностью, не уведомляя разработчика как-то. Любой, кто обновляется до последней версии, будет преследовать призраков, как я. Но это также моя вина, не сделав снимок моих зависимостей. Урок усвоил трудный путь.