How to retrieve csrf token generated with flask in vue js frontend(如何在vue js frontend中检索flask生成的csrf令牌)-6ren

How to retrieve csrf token generated with flask in vue js frontend(如何在vue js frontend中检索flask生成的csrf令牌)

转载作者：bug小助手更新时间：2023-10-25 15:21:54

I'm currently working on a project where I'm using Flask for the backend and Vue.js for the frontend. I've successfully generated a CSRF (Cross-Site Request Forgery) token in Flask using {{ form.hidden_tag() }} within my templates, which works well. However, I'm facing a challenge when it comes to integrating Vue.js into the mix.

我目前在一个项目中工作，我正在使用烧瓶为后端和Vue.js为前端。我已经在我的模板中使用{{form.den_tag()}}成功地在Flask中生成了一个CSRF(Cross-Site RequestForgery)令牌，运行良好。然而，当涉及到将Vue.js整合到混合中时，我面临着一个挑战。

I'd like to know how to generate and utilize a CSRF token with Vue.js in my Flask application. The problem lies in replicating the same CSRF token handling mechanism within Vue.js as I do with Flask templates.

我想知道如何在我的FlaskTM应用程序中生成和使用带有Vue.js的CSRF令牌。问题在于在Vue.js中复制相同的CSRF令牌处理机制，就像我使用Flask模板所做的那样。

To give you a clearer picture, here's a snippet of my current setup:

为了给你一个更清晰的画面，这里是我当前设置的一个片段：

@app.route("/api/register", methods=['GET','POST'])
    def register():
        data = request.json  # Parse JSON data from the Vue.js frontend
        print(data)
        # Validate and process the registration data
        form = RegistrationForm(**data)
        print(form.username.data)
        if form.validate():
            user = User(username=form.username.data, email=form.email.data)
            user.set_password(form.password1.data)
            db.session.add(user)
            db.session.commit()
        return jsonify(success=True, message='Registration successful')

class RegistrationForm(FlaskForm):
    username = StringField('Username', validators=[
        DataRequired(),
        Length(min=4, max=20),
        Regexp(r'^\w+$', message="Username must contain only letters, numbers, or underscores.")
    ])
    email = StringField('Email', validators=[DataRequired(), Email()])
    password1 = PasswordField('Password', validators=[
        DataRequired(),
        Length(min=8),
        Regexp(r'^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]+$',
               message="Password must include at least one uppercase letter, one lowercase letter, one digit, and one special character.")
    ])
    password2 = PasswordField('Confirm Password', validators=[
        DataRequired(),
        EqualTo('password1', message='Passwords must match.')
    ])
    submit = SubmitField('Register')
    
        # sanitization to the username and email fields
    def validate_username(self, field):
        field.data = bleach.clean(field.data)

    def validate_email(self, field):
        field.data = bleach.clean(field.data)

<template>
  <div>
    <h3>Create a new Account!</h3>
    <form @submit.prevent="handleSubmit">
           
      <div>
        <label for="username">Username :</label>
        <input v-model="formData.username" placeholder="username" />
      </div>
      <div>
        <label for="email">Email :</label>
        <input v-model="formData.email" placeholder="email" />
      </div>
      <div>
        <label for="password">Password :</label>
        <input v-model="formData.password" placeholder="password" />
      </div>
      <div>
        <label for="password2">Confirm :</label>
        <input v-model="formData.confirm" placeholder="confirm" />
      </div>
      <button type="submit">Submit</button>
    </form>
    <div v-if="errors.length > 0">
      <p v-for="error in errors" :key="error">{{ error }}</p>
    </div>
  </div>
</template>

<script>
import axios from "axios";

export default {
  data() {
    return {
      formData: {
        username: "",
        email: "",
        password: "",
        confirm: "",
      },
      errors: []
    };
  },
  
  
  methods: {
    async handleSubmit() {
      try {
        // Perform validation here (e.g., check if passwords match, etc.)
        if (this.formData.password !== this.formData.confirm) {
          this.errors = ["Passwords do not match"];
          return;
        }

        // Send the registration data to the server with the CSRF token in the header
        const response = await axios.post(
          "http://127.0.0.1:5000/api/register",
          this.formData,
          {
            headers: {
              "Content-Type": "application/json",
            },
          }
        );

        if (response.data.success) {
          // Registration was successful, perform any necessary actions
          // (e.g., redirect to login page)
          this.$router.push({ name: "login" });
        } else {
          // Handle registration failure
          this.errors = [response.data.message];
        }
      } catch (error) {
        // Handle network or server errors
        console.error(error);
        this.errors = [
          "An error occurred while processing your request. Please try again later.",
        ];
      }
    },
  },
};
</script>

However, despite trying different approaches, I haven't been able to successfully use this CSRF token when making AJAX requests from Vue.js to my Flask backend. How can I include the CSRF token in the request headers when using Axios or any other method in Vue.js?

然而，尽管尝试了不同的方法，但在从Vue.js向我的Flask后端发出AJAX请求时，我还没有成功地使用这个CSRF令牌。在使用Axios或Vue.js中的任何其他方法时，如何在请求标头中包含CSRF令牌？

Your guidance on how to handle CSRF tokens between Flask and Vue.js would be greatly appreciated!

如果您能指导我们如何处理FlASK和Vue.js之间的CSRF令牌，我们将不胜感激！

更多回答

优秀答案推荐

First Generate and pass the CSRF token to Vue on initial render. Store it in Vue and add to request headers and validate the token in Flask on each request.

首先，在初始呈现时生成CSRF令牌并将其传递给Vue。将其存储在Vue中并添加到请求标头中，并在Flask中对每个请求验证令牌。

Example

示例

In Flask, generate the CSRF token and pass it to the initial page render:

@app.route('/')
def index():
  csrf_token = generate_csrf()

  return render_template('index.html', csrf_token=csrf_token)

In Vue, store the CSRF token in a data property:

data() {
  return {
    csrfToken: '' 
  }
}

created() {
  this.csrfToken = // Get from rendered page 
}

Add the CSRF token to the Axios request headers:

axios.post('/api/register', data, {
  headers: {
    'X-CSRF-TOKEN': this.csrfToken
  }  
})

In Flask, validate the CSRF token on requests:

@app.route('/api/register', methods=['POST'])
def register():
  csrf_token = request.headers.get('X-CSRF-TOKEN')
  if not validate_csrf(csrf_token):
    abort(400)

  // process request

更多回答

Thank you for your answer with this approach , please can you explain a little bit more about step 1 and 2

感谢您对此方法的回答，请您多解释一下第一步和第二步

csrf - CSRF 防御也可以防御点击劫持吗？
假设我的 Web 应用程序使用 CSRF token 防止 CSRF 攻击，此外，它使用 SSL 并防止 XSS 攻击。此外，出于这个问题的目的，假设它仅在最近的浏览器中使用并且它们没有错误。我可以使
csrf - CSRF 是否安全？
很多人都在谈论实现 CSRF 来阻止对网页的跨站点攻击。但我认为破坏 CSRF 并向服务器发出请求非常容易。那么它是如何工作的呢？您从一个页面开始，呈现一个表单并使用 CSRF token 保留一
csrf - 好像我对 CSRF 的理解有误？
在阅读了许多有关 CSRF 的文档后，我仍然有点困惑。所以我希望有人可以向我解释一下: 假设我有一个仅供经过身份验证的用户使用的个人资料页面，比如说 abc.com/profile，它会显示我所有的私
csrf - 如何将 CSRF Token 设置为不同的上下文路径
我们基于 Angular 的 web 应用程序与在不同域和上下文路径上运行的企业门户集成。我正在使用基于 Spring Security 的 CSRF token 来验证传入的请求。该应用程序在本地完
csrf - JSON API 和 CSRF
我正在开发一个 Web API。身份验证是通过 cookie 进行的。所有端点通过JSON接收参数在请求正文中。我需要实现 CSRF token保护他们？这怎么可能被利用呢？是否可以通过正常发送JS
csrf - CSRF token 是 base64url 编码的吗？
我正在开发一个从 cookie header 解析 CSRF token 的应用程序。我想知道 CSRF token 是否使用 URL 安全字符进行 base64 编码(参见 https://simp
即使包含 csrf token ，Django CSRF 验证也失败
我知道当提交时表单中未包含 csrf token 时会发生此错误，但这次并非如此。我正在尝试登录管理站点。管理员登录表单包含 csrf token ，我可以看到该 csrf token 的值与 cs
csrf - 在 Yii2 中禁用单个操作的 CSRF 验证
有没有办法对 Controller 的某些操作禁用 CSRF 验证，同时对其他操作保持启用状态？就我而言，我有几个可配置的 Action 类，它们旨在注入(inject)到 Controller 中
csrf - 什么是 CSRF 代币？它的重要性是什么？它是如何运作的？
我正在编写一个应用程序(Django，确实如此)，我只想了解“CSRF token ”实际上是什么以及它如何保护数据。如果不使用CSRF token ，发布数据不安全吗？最佳答案简单来说跨站请求
csrf - 如果没有同源策略，一个邪恶的站点可以读取 CSRF token 吗？
来自维基百科关于同源政策 https://en.wikipedia.org/wiki/Same-origin_policy The same-origin policy helps protect s
csrf - 如何使用 axios 发送 CSRF header ？
我在 Vue 环境中使用 axios 与用 Symfony 编写的网络服务对话。每个请求都需要设置一个 X-Auth-Token header 。该值存储在 auth_token cookie 中。
javascript - CSRF/CSRF 安全 REST 调用的最佳实践？
我想保护我的 REST 调用免受 XSRF 攻击。我正在做的是: 服务器在用户成功登录后向浏览器发送一个记录的 cookie。在每个请求(GET、POST、DELETE)上，我将登录的 cookie
Django CSRF 验证失败。请求中止。- CSRF cookie 未设置
我知道这个问题以前有人问过。我已经尝试了人们给出的几乎所有选项，但我似乎无法解决它。我是一个完整的新手，所以请让我知道我哪里出错了。我正在尝试编写一个简单的原始表单。到目前为止，我还没有实现任何身份
csrf - Laravel 5 : POST without CSRF checking
似乎 Laravel 5 默认将 CSRF 过滤器应用于所有非获取请求。这对于表单 POST 是可以的，但对于 POST DELETE 等的 API 可能是一个问题。简单的问题: 如何设置没有 CS
spring-security - CSRF token 已关联到此客户端”而不禁用 CSRF
当我从客户端向服务器发出 DELETE 请求时，我遇到了错误。 “CSRF token 已关联到此客户端”。响应代码:403 和响应头 { "cache-control": "no-cache,
security - 为什么随机 CSRF key 可以防止 CSRF 攻击？
to prevent CSRF attacks, a random CSRF secret has been generated. 以上内容来自 symfony: http://www.symfony
Django CSRF 失败 : CSRF token missing or incorrect
我正在使用 Django Rest Framework还有 django-rest-auth . 我有标准的 API 端点(/login、/logout、/registration...) 使用我的浏
csrf - Google OAuth 状态 token 实际上阻止了什么 CSRF？
这个问题在这里已经有了答案: OAuth2.0 Server stack how to use state to prevent CSRF? for draft2.0 v20 (3 个回答) 4年前关
csrf - 我需要知道如何在 Impresspages cms 中禁用 CSRF 功能
我需要知道如何在 Impresspages cms 中禁用 CSRF 功能。我在之前的帖子中看到了一个可能的答案，但没有完全分类。当我的客户在 cleanwaterpartnership.co.uk
django - CSRF 失败 : CSRF token missing or incorrect
我正在使用 Django 1.7 和 django-rest-framework。我制作了一个 API，它返回一些 JSON 数据并将其放入我的 settings.py REST_FRAMEWORK

bug小助手

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

How to retrieve csrf token generated with flask in vue js frontend(如何在vue js frontend中检索flask生成的csrf令牌)