csrf

Flask之WTForms 简介 WTForms是一个支持多个web框架的form组件，主要用于对用户请求数据进行验证。 安装： 1 pip3 install wtforms 用户登录注册示例 1. 用户登录 当用户登录时候，需要对用户提交的用户名和密码进行多种格式校验。如： 用户不能为空；用户长度必须大于6； 密码不能为空；密码长度必须大于12；密码必须包含 字母、数字、特殊字符等（自定义正则）； app.py #!/usr/bin/env python # -*- coding:utf-8 -*- from flask import Flask, render_template, request, redirect from wtforms import Form from wtforms.fields import core from wtforms.fields import html5 from wtforms.fields import simple from wtforms import validators from wtforms import widgets app = Flask(__name__, template_folder='templates') app.debug = True class LoginForm(Form): name =

转自：https://www.cnblogs.com/fundebug/p/details-about-6-web-security.html 一、XSS XSS (Cross-Site Scripting)，跨站脚本攻击，因为缩写和CSS重叠，所以只能叫XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击 跨站脚本攻击有可能造成以下影响： 利用虚假输入表单骗取用户个人信息 利用脚本窃取用户的Cookie值，被害者在不知情的情况下，帮助攻击者发送恶意请求 显示伪造的文章或图片 XSS的原理是恶意攻击者往Web页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中Web里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的 XSS的攻击方式千变万化，但还是可以大致细分为几种类型 1.非持久型XSS（反射型XSS） 非持久型XSS漏洞，一般是通过给别人发送 带有恶意脚本代码参数的URL ，当URL地址被打开时，特有的恶意代码参数被HTML解析、执行 举一个例子，比如页面中包含有以下代码： <select> <script> document.write('' + '<option value=1>' + location.href.substring(location

forms组件 校验字段功能 针对一个实例：注册用户讲解。 模型：models.py class UserInfo(models.Model): name=models.CharField(max_length=32) pwd=models.CharField(max_length=32) email=models.EmailField() tel=models.CharField(max_length=32) 模板: register.html: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="" method="post"> {% csrf_token %} <div> <label for="user">用户名</label> <p><input type="text" name="name" id="name"></p> </div> <div> <label for="pwd">密码</label> <p><input type="password" name="pwd" id="pwd"></p> </div> <div> <label for="r_pwd">确认密码</label> <p>

What is the difference between XSS and CSRF from their execution perspective? https://www.quora.com/What-is-the-difference-between-XSS-and-CSRF-from-their-execution-perspective/answer/Deepthi-210 Fundamental difference is that CSRF (Cross-site Request forgery) happens in authenticated sessions when the server trusts the user/browser, while XSS (Cross-Site scripting) doesn't need an authenticated session and can be exploited when the vulnerable website doesn't do the basics of validating or escaping input. In case of XSS, when the server doesn't validate or escapes input as a primary control,

vue-resource post数据 参考：https://www.cnblogs.com/linxizhifeng/p/8995077.html 阅读django CsrfViewMiddleware源码可知，csrftoken可以放在请求参数（csrfmiddlewaretoken）里面或者请求头（X-CSRFToken）里： # Check non-cookie token for match. request_csrf_token = "" if request.method == "POST": try: request_csrf_token = request.POST.get('csrfmiddlewaretoken', '') except IOError: # Handle a broken connection before we've completed reading # the POST data. process_view shouldn't raise any # exceptions, so we'll ignore and serve the user a 403 # (assuming they're still listening, which they probably # aren't because of the error).