关于csrf_token

老师，您好：

csrf_token()在模板中模板变量里面写出来，那么这个csrf_token()是要在对应的视图函数里面写出来传入到模板里面吗？还是说csrf_token()本身就是在模板中就有的是吗？

为学习而奋斗 2020-12-06

源自：Flask 表单介绍 2-3 通过表单保存数据

收起

1回答

好帮手慕美回答被采纳获得+3积分 2020-12-06 13:52:23

同学，你好，flask_wtf默认是开启csrf保护的，当使用FlaskForm时，可以在模板中表单一栏加入：{{ form.csrf_token }}这样，csrf保护已经开启。

如果模板不使用FlaskForm，则设置input表单中的type为hidden。

<form method="post">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}"/>
</form>

是可以直接在表单中使用的。

收起回答

为学习而奋斗提问者 #1

老师，您好：

{{ csrf_token() }}我想问的是，这个{{ csrf_token() }}是不是通过视图函数里面
传过来的？还是说是模板中本身就有的？或者是说就是不使用FlaskForm的时候，直接在
模板中使用{{ csrf_token() }}也是可以的是吧？这个{{ csrf_token() }}直接这样写在模板中不会报错的是吗？
flask_wtf是默认开启csrf保护的，所以直接使用{{ csrf_token() }}是可以是吧？

2020-12-06 14:14:44

好帮手慕美回复提问者为学习而奋斗 #2
同学，你好，
1、和视图函数没有关系的，任何使用FlaskForm创建的表单发送请求，都会有CSRF的全部保护，在对应的template中HTML渲染表单时，加入{{ form.csrf_token }}即可
2、若模板中没有表单，则可以使用一个隐藏的input标签加入csrf_token。
```
<input type="hidden" name="csrf_token" value="{{ csrf_token() }}"/>
```
祝学习愉快~~~~
2020-12-06 14:58:14