在以下情况下,Flask-WTF CSRF基础结构将拒绝令牌:
令牌丢失。此处不是这种情况,你可以在表格中看到令牌。
它太旧了(默认到期时间设置为3600秒或一个小时)。
TIME_LIMIT
在表单上设置属性以覆盖此属性。这里可能不是这样。如果
'csrf_token'
在当前会话中找不到密钥。你显然可以看到会话令牌,所以也可以看到。
如果HMAC签名不匹配;签名基于会话中在
'csrf_token'密钥下设置的随机值,服务器端机密以及令牌中的到期时间戳记。
消除了前三种可能性后,你需要验证第四步失败的原因。你可以
flask_wtf/csrf.py在
validate_csrf()函数中的文件中调试验证。
对于你的设置,你需要验证会话设置是否正确(尤其是如果你不使用默认会话配置),以及你使用的是正确的服务器端密码。表单本身可以
SECRET_KEY设置属性,但在请求之间不稳定,或者应用程序WTF_CSRF_SECRET_KEY密钥已更改(后者默认为app.secret_keyvalue)。
在0.9.0版中添加了CSRF支持,如果升级了,请查阅特定的CSRF保护文档。标准的Flask-WTF
Form类包括 CSRF令牌作为隐藏字段,呈现隐藏字段足以包含它:
{{ form.hidden_tag() }}
