# 94 AJAX处理CSRF漏洞
Ajax的crsf保护实现
以login.html为例
```text
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>中国工商银行登录界面</title>
<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
<script src="{{ url_for('static',filename='login.js') }}"></script>
</head>
<body>
<form action="" method="post">
{# {{ form.csrf_token }}#}
<input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
<table>
<tbody>
<tr>
<td>邮箱:</td>
<td><input type="text" name="email"/></td>
</tr>
<tr>
<td>密码:</td>
<td><input type="password" name="password"/></td>
</tr>
<tr>
<td></td>
<td><input type="submit" valule="登录" id="submit"/></td>
</tr>
</tbody>
</table>
</form>
</body>
</html>
```
login.js
```text
// jquery
// XMLHTTTPRequest
// 整个文档都加载完毕后才会执行这个函数
$(function () {
$('#submit').click(function (event) {
// 阻止默认的提交表单的行为
event.preventDefault();
var email = $('input[name=email]').val();
var password = $('input[name=password]').val();
var csrf_token = $('input[name=csrf_token]').val()
$.post({
'url': '/login/',
'data': {
'email': email,
'password': password,
'csrf_token':csrf_token
},
'success': function (data) {
console.log("成功");
},
'fail': function (error) {
console.log(error);
}
});
});
});
```
推荐使用meta方法
```text
<meta name="csrf_token" content="{{ csrf_token() }}">
var csrf_token = $('meta[name=csrf_token]').attr('content');
$.ajaxSetup({
"beforeSend":function(xhr,settings){
if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain){
xhr.setRequestHeader("X-CRSFToken",csrf_token)
}
}
});
```
- 介绍
- 1.Flask视图和URL
- 01 虚拟环境
- 02 URL组成部分详解
- 03 web服务器+应用服务器+web应用框架
- 04 flask程序详解
- 05 debug模式详解
- 06 配置文件两种方式详解
- 07 URL中两种方式传参
- 08 url_for使用详解
- 09 自定义URL转换器
- 10 必会的小细节知识
- 11 重定向详解
- 12-13 视图函数Response返回值详解
- 2.Jinja2模版
- 14 Jinja2模板介绍
- 15 模板传参及其技巧
- 16 模板中使用url_for
- 17 过滤器基本使用
- 18 default过滤器详解
- 19 常用过滤器讲解
- 20 自定义过滤器
- 21 自定义时间处理过滤器案例
- 22 if
- 23 for循环语句详解
- 24 九九乘法表
- 25 宏的概念和基本使用
- 26 宏的导入和注意事项
- 27 include标签使用详解
- 28 set和with语句以及模板中定义变量
- 29 加载静态文件
- 30 模板继承详解
- 31-36 豆瓣微信小程序案例
- 3.Flask视图高级
- 37 add_url_rule和app.route原理剖析
- 38 标准类视图及其使用场景
- 39 基于调度方法的类视图
- 40 类视图中使用装饰器
- 41 蓝图的基本使用
- 42 蓝图中模版文件寻找规则
- 43 蓝图中静态文件寻找规则
- 44 url_for反转蓝图注意事项
- 45 子域名实现详解
- 4.Flask数据库
- 46 安装MySQL以及注意事项
- 47 SQLAlchemy连接数据库
- 48 ORM介绍
- 49 定义ORM模型并将其映射到数据库中
- 50 SQLAlchemy对数据的增删改查操作
- 51 SQLAlchemy属性常用数据类型详解
- 52 Column常用参数
- 53 query函数可查询的数据
- 54 filter方法常用过滤条件
- 55 外键及其四种约束讲解
- 56 ORM层外键和一对多关系
- 57 一对一关系实现
- 58 多对多关系实现
- 59 ORM层面删除数据注意事项
- 60 relationship方法中的cascade参数详解(1)
- 61 relationship方法中的cascade参数详解(2)
- 62 三种排序方式详解
- 63 limit、offset以及切片操作
- 64 数据查询懒加载技术
- 65 group_by和having子句
- 66 join实现复杂查询
- 67 subquery实现复杂查询
- 68 Flask-SQLAlchemy的使用详解
- 69 alembic数据库迁移工具基本使用
- 70 alembic常用命令和经典错误解决办法
- 71 Flask-SQLAlchemy下alembic的配置
- 72 Flask-Script详细讲解
- 73 项目结构重构
- 74 Flask-Migrate详细讲解
- 75 Flask-Migrate注意事项
- 5.Flask知识点补充
- WTForms
- 76 WTForms表单验证基本使用
- 77 WTForms常用验证器
- 78 自定义表单验证器
- 79 使用WTForms渲染模版
- 上传文件
- 80 上传文件以及访问上传的文件
- 81 使用flask_wtf1验证上传的文件
- Flask Cookie
- 82 cookie的基本概念
- 83 Flask设置和删除cookie|Flask设置cookie过期时间|设置Cookie的有效域名
- Flask Session
- 86 session的基本概念
- 87 Flask操作session
- CSRF攻击与防御
- 88 CSRF攻击原理
- 89 实战项目-中国工商银行注册功能完成
- 90 实战项目-中国工商银行登录和转账实现
- 91 实战项目-病毒网站使用CSRF漏洞转账
- 92 CSRF防御原理
- 93 Flask中CSRF防御的方法与原理
- 94 AJAX处理CSRF漏洞
- Flask 上下文
- 95 Local线程隔离对象
- 96 app上下文和request上下文详解
- 97 线程隔离的g对象使用详解
- Flask钩子函数
- 98 before_request钩子函数详解
- 99 context_processor钩子函数详解
- 100 errorhandler钩子函数详解
- Flask信号
- 101 信号机制及其使用场景详解
- 102 Flask内置的信号讲解
- Flask Restful
- 103 Restful API规范介绍
- 104 Flask-Restful插件的基本使用
- 105 Flask-Restful参数验证
- 106 Flask-Restful标准化返回参数(1)
- 107 Flask-Restful标准化返回参数(2)
- 108 Flask-Restful细节强化
- 6.memcached缓存系统
- 109 memcached介绍
- 110 memcached的安装和参数详解
- 111 telnet操作memcached
- 112 Python操作memcached
- 113 memcached的安全机制
- 7.Redis键值对数据库
- 114 Redis概述和使用场景介绍
- 115 Redis的安装以及客户端连接
- 116 Redis的字符串以及过期时间操作
- 117 Redis的列表操作
- 118 Redis的集合操作
- 119 Redis的哈希操作
- 120 Redis的事务操作
- 121 Redis的发布和订阅操作
- 122 RDB和AOF的两种数据持久化机制
- 123 Redis设置连接密码
- 124 其他机器连接本机redis
- 125 Python操作redis
- 8.Flask企业级论坛实战项目
- Flask项目实战
- 126.实战项目介绍
- 127.项目结构搭建
- 128.cms用户模型定义
- 129.cms后台登录界面完成
- 130.cms后台登录功能完成
- 131.cms后台登录限制
- 132.cms后台模版渲染完成
- 133.cms用户名渲染和注销功能实现
- 134.cms模版抽离和个人信息页面完成
- 135.cms登录页面CSRF保护
- 136.cms后台修改密码界面布局完成
- 137.cms后台修改密码ajax功能完成
- 138.cms后台密码修改服务器逻辑完成
- 139.优化json数据的返回
- 140.sweetalert提示框用法讲解
- 141.sweetalert优化修改密码结果反馈
- 142.修改邮箱界面完成
- 143.Flask-Mail的使用以及邮箱配置
- 144.发送邮箱验证码功能完成
- 145.修改邮箱功能完成
- 146.二进制及其相关运算
- 147.权限和角色模型定义
- 148.封装权限判断功能
- 149.客户端权限验证功能完成
- 150.服务端权限验证功能完成
- 151.前台用户模型创建(1)
- 152.前台用户模型创建(2)
- 153.注册界面完成
- 154.图形验证码生成技术详解
- 155.点击更换图形验证码
- 156.发送短信验证码
- 157注册页面对接短信验证码接口
- 158.短信验证码接口加密和js代码混淆
- 159.缓存验证码
- 160.注册功能前端逻辑代码完成
- 161.注册功能后台逻辑代码完成
- 162.注册完成跳转回上一个页面
- 163.登录界面完成
- 164.登录功能完成
- 165.首页导航条实现和代码抽离
- 166.首页轮播图实现
- 167.cms轮播图管理页面布局
- 168.cms添加轮播图的模态对话框制作
- 169.cms添加轮播图后台逻辑代码完成
- 170.cms添加轮播图前台逻辑代码完成
- 171.cms编辑和删除轮播图功能完成
- 172.七牛云存储介绍
- 173.七牛JS和Python的SDK使用
- 174.轮播图上传图片功能完成
- 175.首页动态获取轮播图数据
- 176.板块管理(1)
- 177.板块管理(2)
- 178.UEditor编辑器集成以及配置上传文件到七牛
- 179.发布帖子后台逻辑完成
- 180.发布帖子界面布局完成
- 181.发布帖子前端逻辑代码完成
- 182.首页帖子列表布局完成
- 183.帖子分页技术实现
- 184.帖子板块过滤显示
- 185.帖子详情页布局
- 186.评论布局和功能实现(1)
- 187.评论布局和功能实现(2)
- 188.帖子加精和取消加精功能完成
- 189.帖子按照发布时间和评论数量等排序
- 190.celery实现异步任务
- 191.Flask+Celery实现邮件和短信异步发送
- ajax技术
- 192.Flask和Ajax技术
- 9.Python web开发核心技术
- 部署
- 193.开发机上的准备工作
- 194.服务器安装Python和虚拟环境
- 195.服务器安装ssh、git以及mysql
- 196.生产环境下项目的配置
- 197.uWSGI部署项目
- 198.uWSGI配置文件
- 199.nginx+uwsgi部署项目
- 200.supervisor管理uwsgi进程