个人中心
gpt4 book ai didi

python - Flask-wtf : csrf_token is removed from session before I can POST my form

转载 作者:行者123 更新时间:2023-11-28 18:38:03 25 4
gpt4 key购买 nike

我正在使用 Flask 和 Flask-Security(特别是关于我的 csrf 问题的 Flask-WTF)来“简化”注册/登录用户的过程(到目前为止并不容易)。我在前端使用 BackboneJS,因此我破解了使用 Flask-WTF 的原始方法。实际上,我在/register 上发出 AJAX GET 请求以获取注册页面(由 Flask-Security 生成),并将生成的 HTML 放入模式中。

render: function () {
            var self = this;
            $.ajax({
                type: 'GET',
                url: Config.constants.serverGateway + "/register"
            }).done(function(result){
                console.log("get register done", result);
                var html = self.template({ config: Config, form: result });
                self.$el.html(html);
            }).fail(function(error){
                console.log("Could not get register token", error);
                var html = this.errorTemplate({ config: Config });
                self.$el.html(html);
            });

            return this;
        }

这样我就有了生成的 csrf,当我发布注册数据时,我发送了正确的 csrf 以及用户数据(电子邮件和密码)。

submit: function () {
            console.log("submit");
            var self = this;
            var formData = this.$el.find('form').serialize();
            $.ajax({
                type: 'POST',
                url: Config.constants.serverGateway + "/register",
                data: formData,
                dataType: 'json'
            }).done(function(result){
                self.trigger('close');
            }).fail(function(error){
                console.log("Could not submit register data", error);
            });
        }

在服务器端,我可以调试我的 python 代码,看到当我请求注册页面时生成的 csrf_token 已经从 session 对象中消失,因此导致生成一个新的,当然与我发送的表单不匹配。 session 仍然相同,因为 _id 在 GET 和 POST 期间是相同的。

可以看到flask_wtf/csrf.py::generate_csrf()中的代码,在flask_security/views.py的::register函数中创建表单对象时调用

if 'csrf_token' not in session:
    session['csrf_token'] = hashlib.sha1(os.urandom(64)).hexdigest()

它会导致 CSRF TOKEN MISSING 错误。

额外的信息是,我的前端和后端是由同一台服务器交付的,因为它们具有不同的端口号。

最后,当我在前端使用 href 并根据“GET”请求显示服务器返回的页面时,提交表单效果很好。我只是喜欢以模式显示此注册表单。

谢谢你的帮助

最佳答案

好吧,我终于找到了解决问题的方法。我觉得自己像个菜鸟(我就是)。

问题在于 session 凭据没有随请求发送到服务器,因此服务器无法访问 session cookie。我在以下教程中找到了解决方案:http://backbonetutorials.com/cross-domain-sessions/为了发送它,我在 Backbone 路由器初始化函数中添加了以下几行:

// Use withCredentials to send the server cookies
// The server must allow this through response headers
$.ajaxPrefilter( function( options, originalOptions, jqXHR ) {
    options.xhrFields = {
        withCredentials: true
    };
});

这使得所有 AJAX 请求都包含 withCredentials = true。在服务器端,我必须设置 Access-Control-Allow-Credentials:true。由于我使用的是 flask-cors,因此在创建 CORS 对象时使用 [supports_credentials=True][2] 完成。

关于python - Flask-wtf : csrf_token is removed from session before I can POST my form,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30532781/

25 4 0
文章推荐: python - 在 Anypoint Studio(以前称为 Mule Studio)中调试 Python (Jython) 代码
文章推荐: python - Django:表单提交 url 处的 ValueError
文章推荐: javascript - 获取 ng-repeat 中行和列的索引
文章推荐: python - 如何在 Python 中散列一行?
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com