主頁 > 企業開發 > 如何撰寫路由以使用Flask接收內容安全策略報告而不會出現400BadRequest錯誤(flask_wtf.csrf.CSRFError)?

如何撰寫路由以使用Flask接收內容安全策略報告而不會出現400BadRequest錯誤(flask_wtf.csrf.CSRFError)?

2021-11-07 04:23:10 企業開發

TL; DR:為長篇文章道歉。簡而言之,我正在嘗試除錯 CSP report-uri如果我遺漏了關鍵資訊,請告訴我。

CSP實作:Flask-Talisman
需要設定的屬性:content_security_policy_report_uri

似乎沒有很多關于如何捕獲此報告的資訊
我在Flask-Talisman檔案中找不到任何具體內容

由于Flask-Talisman只設定標題,包括report-uri,我想這無論如何都超出了擴展的范圍

路線

我發現的所有資源都具有大致相同的功能:
https : //www.merixstudio.com/blog/content-security-policy-flask-and-django-part-2/ http://csplite.com/csp260/
https://github.com/GoogleCloudPlatform/flask-talisman/issues/21

我為這條路線找到的唯一真正詳細的解釋如下(但與此無關Flask-Talisman

來自https://www.merixstudio.com/blog/content-security-policy-flask-and-django-part-2/(這是我目前使用的)

# app/routes/report.py

import json
import pprint
    
from flask import request, make_response, Blueprint
...
bp = Blueprint("report", __name__, url_prefix="report")
...
@bp.route('/csp-violations', methods=['POST'])
def report():
    """Receive a post request containing csp-resport.
    This is the report-uri. Print report to console and 
    return Response object.

    :return: Flask Response object.
    """
    pprint.pprint(json.loads(str(request.data, 'utf-8')))
    response = make_response()
    response.status_code = 200
    return response
    ...

這條路線只收到 400 錯誤,我不知道如何實際除錯它

127.0.0.1 - - [04/Nov/2021 14:29:09] "POST /report/csp-violations HTTP/1.1" 400 -

我嘗試過 GET 請求,可以看到我收到了一個空請求,這似乎意味著沒有發送 CSP 報告(來自 的回應https://127.0.0.1:5000/report/csp-violations

# app/routes/report.py
...
@bp.route('/csp-violations', methods=['GET', 'POST'])
def report():
    ...
b''
b''
127.0.0.1 - - [04/Nov/2021 18:03:52] "GET /report/csp_violations HTTP/1.1" 200 -

Edit: Definitely receiving nothing

...
@bp.route("/csp_violations", methods=["GET", "POST"])
def report():
    ...
    return str(request.args)  # ImmutableMultiDict([ ])

Will not work with a GET or POST request (still 400)

...
@bp.route("/csp_violations", methods=["GET", "POST"])
def report():
    content = request.get_json(force=True)
    ...

Without force=True

@bp.route("/csp_violations", methods=["GET", "POST"])
def report():
    content = request.get_json()  # json.decoder.JSONDecodeError
    ...

Chromium (same result on Chrome, Brave, and FireFox)

When I check this out on Chromium under CTRL-SHIFT-I > Network I see

Request URL: https://127.0.0.1:5000/report/csp_violations
Request Method: POST
Status Code: 400 BAD REQUEST
Remote Address: 127.0.0.1:5000
Referrer Policy: strict-origin-when-cross-origin

But apparently the payload does exist at the bottom under "Request Payload"...

{
    "document-uri": "https://127.0.0.1:5000/",
    "referrer": "",
    "violated-directive": "script-src-elem",
    "effective-directive": "script-src-elem",
    "original-policy": "default-src 'self' https://cdnjs.cloudflare.com https://cdn.cloudflare.com https://cdn.jsdelivr.net https://gravatar.com jquery.js; report-uri /report/csp-violations",
    "disposition": "enforce",
    "blocked-uri": "inline",
    "line-number": 319,
    "source-file": "https://127.0.0.1:5000/",
    "status-code": 200,
    "script-sample": ""
}

Is the CSP blocking this request?

After reading Python Flask 400 Bad Request Error Every Request I set all requests to HTTPS with the help of https://stackoverflow.com/a/63708394/13316671
This fixed a few unittests but no change to the 400 error for this particular route

# app/config.py
from environs import Env
from flask import Flask

env = Env()
    
env.read_env()
 
    
class Config:
    """Load environment."""
    ...

    @property
    def PREFERRED_URL_SCHEME(self) -> str:  # noqa
        return env.str("PREFERRED_URL_SCHEME", default="https")
        ...
    
# app/__init__.py
from app.config import Config


def create_app() -> Flask:
    app = Flask(__name__)
    app.config.from_object(Config())
    ...
    return app
flask run --cert="$HOME/.openssl/cert.pem" --key="$HOME/.openssl/key.pem"

400 Bad Request

Through what I've read a 400 Bad Request error usually happens from an empty request or form

https://stackoverflow.com/a/14113958/13316671

...the issue is that Flask raises an HTTP error when it fails to find a key in 
the args and form dictionaries. What Flask assumes by default is that if you 
are asking for a particular key and it's not there then something got 
left out of the request and the entire request is invalid.

https://stackoverflow.com/a/37017020/13316671

99% of the time, this error is a key error caused by your requesting a key in 
the request.form dictionary that does not exist. To debug it, run

print(request.form)

request.data in my case

Through trying to fix this I have gone down the rabbit-hole in regard to just seeing the cause of the 400 error

I have implemented the following

https://stackoverflow.com/a/34172382/13316671


import traceback
    
from flask import Flask  
...
app = Flask(__name__)
    ...
    @app.errorhandler(400)
    def internal_error(exception):  # noqa
        print("400 error caught")
        print(traceback.format_exc())

And added the following to my config
I haven't checked, but I think these values already get set alongside DEBUG


# app/config.py
from environs import Env
    
env = Env()
    
env.read_env()
    
    
class Config:
    """Load environment."""
    ...
 
    @property
    def TRAP_HTTP_EXCEPTIONS(self) -> bool:  # noqa
        """Report traceback on error."""
        return env.bool("TRAP_HTTP_EXCEPTIONS", default=self.DEBUG)  # noqa
    
    @property
    def TRAP_BAD_REQUEST_ERRORS(self) -> bool:  # noqa
        """Report 400 traceback on error."""
        return env.bool("TRAP_BAD_REQUEST_ERRORS", default=self.DEBUG)  # noqa   
    ...

I still am not getting a traceback. The only time werkzeug shows a traceback is through a complete crash, for something like a syntax error

It seems, because I am not initializing this request that the app continues to run through the 400 code, no problem

Summary

Main conclusion I'm drawing is that for some reason the report-uri is not valid because I can see the payload exists, I am just not receiving it

I used the relative route as the subdomain would be different for a localhost and a remote. It looks as though the request is being made to the full URL in the Chromium snippet though.

Could I be receiving invalid headers https://stackoverflow.com/a/45682197? If so how can I debug that?

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/report-uri
Note: The report-uri is deprecated, but I don't think most browsers support the report-to parameter

EDIT:

I have taken the following out of my application factory (this code renders my exceptions - which I posted as an answer here so it is available https://stackoverflow.com/a/69671506/13316671

...
    app = Flask(__name__)
    config.init_app(app)
    ...
    # exceptions.init_app(app)
    ...
    return app

執行此操作后(在 FireFox 私有模式下),我進行了另一個 POST(我已經洗掉了 GET 方法)我可以看到回應 - 在這里我終于設法收集了 Werkzeug 回溯:

wtforms.validators.ValidationError: The CSRF token is missing.

研究如何驗證來自瀏覽器的 csp 報告

到目前為止,我已經看過這個:在 Content-Security-Policy-Report-Only "report-uri" POST call 中添加一個新的 Http Header

uj5u.com熱心網友回復:

試試這段代碼:

@app.route('/report-csp-violations', methods=['POST'])
    def report():
        content = request.get_json(force=True)   # that's where the shoe pinches
        print(json.dumps(content, indent=4, sort_keys=True))
        response = make_response()
        response.status_code = 204
        return response

我認為request.data嘗試自動決議 JSON 資料并成功決議它期望application/json發送 MIME 型別。
但是違規報告是使用application/csp-reportMIME 型別發送的,因此 Flask 將其視為來自客戶端的錯誤資料 -> 404 Bad Request。

.get_json(force=True) 意味著忽略 mimetype 并始終嘗試決議 JSON。

此外,我認為您不需要轉換為 utf-8,因為根據rfc4627 “3. 編碼”:

JSON 文本應以 Unicode 編碼。默認編碼為 UTF-8。

uj5u.com熱心網友回復:

現在,我已將視圖從CRSFProtect. 我認為應該沒問題,因為此視圖不回傳模板,所以我無法添加

<form method="post">
    {{ form.csrf_token }}
</form>

以下對我不起作用(不要認為這是一個有效的令牌)

# app/routes/report.py
...
def report():
    response = make_response()
    response.headers["X-CSRFToken"] = csrf.generate_csrf()
    ...
    return response
...

使用實體化CSRFProtect物件...

# app/extensions.py
...
from flask_wtf.csrf import CSRFProtect
...
csrf_protect = CSRFProtect()
...
def init_app(app: Flask) -> None:
    ...
    csrf_protect.init_app(app)
    ...
...

...裝飾視圖

# app/routes/report.py
from app.extensions import csrf_protect
...
@blueprint.route("/csp_violations", methods=["POST"])
@csrf_protect.exempt
def report():
    ....
127.0.0.1 - - [06/Nov/2021 21:30:46] "POST /report/csp_violations HTTP/1.1" 204 -
{
    "csp-report": {
        "blocked-uri": "inline",
        "column-number": 8118,
        "document-uri": "https://127.0.0.1:5000/",
        "line-number": 3,
        "original-policy": "default-src" ...
        "referrer": "",
        "source-file": ...
    }
}

我有一個系統可以混淆我的錯誤,所以這是我的錯誤。這不是我第一次遇到CSRFProtect.

我已經解決了除錯問題

# app/exceptions.py
...
def init_app(app: Flask) -> None:
    ...
    def render_error(error: HTTPException) -> Tuple[str, int]:

        # the below code is new
        app.logger.error(error.description)
       ...
...

所以,如果我仍然收到此錯誤,這就是我現在會看到的

[2021-11-06 21:23:56,054] ERROR in exceptions: The CSRF token is missing.
127.0.0.1 - - [06/Nov/2021 21:23:56] "POST /report/csp_violations HTTP/1.1" 400 -

轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/350566.html

標籤:Python 安全 烧瓶 内容安全策略 错误的请求

上一篇:我如何確保我網站用戶發布的鏈接安全可靠?

下一篇:具有測量引導的TPM芯片的安全性

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • IEEE1588PTP在數字化變電站時鐘同步方面的應用

    IEEE1588ptp在數字化變電站時鐘同步方面的應用 京準電子科技官微——ahjzsz 一、電力系統時間同步基本概況 隨著對IEC 61850標準研究的不斷深入,國內外學者提出基于IEC61850通信標準體系建設數字化變電站的發展思路。數字化變電站與常規變電站的顯著區別在于程序層傳統的電流/電壓互 ......

    uj5u.com 2020-09-10 03:51:52 more
  • HTTP request smuggling CL.TE

    CL.TE 簡介 前端通過Content-Length處理請求,通過反向代理或者負載均衡將請求轉發到后端,后端Transfer-Encoding優先級較高,以TE處理請求造成安全問題。 檢測 發送如下資料包 POST / HTTP/1.1 Host: ac391f7e1e9af821806e890 ......

    uj5u.com 2020-09-10 03:52:11 more
  • 網路滲透資料大全單——漏洞庫篇

    網路滲透資料大全單——漏洞庫篇漏洞庫 NVD ——美國國家漏洞庫 →http://nvd.nist.gov/。 CERT ——美國國家應急回應中心 →https://www.us-cert.gov/ OSVDB ——開源漏洞庫 →http://osvdb.org Bugtraq ——賽門鐵克 →ht ......

    uj5u.com 2020-09-10 03:52:15 more
  • 京準講述NTP時鐘服務器應用及原理

    京準講述NTP時鐘服務器應用及原理京準講述NTP時鐘服務器應用及原理 安徽京準電子科技官微——ahjzsz 北斗授時原理 授時是指接識訓通過某種方式獲得本地時間與北斗標準時間的鐘差,然后調整本地時鐘使時差控制在一定的精度范圍內。 衛星導航系統通常由三部分組成:導航授時衛星、地面檢測校正維護系統和用戶 ......

    uj5u.com 2020-09-10 03:52:25 more
  • 利用北斗衛星系統設計NTP網路時間服務器

    利用北斗衛星系統設計NTP網路時間服務器 利用北斗衛星系統設計NTP網路時間服務器 安徽京準電子科技官微——ahjzsz 概述 NTP網路時間服務器是一款支持NTP和SNTP網路時間同步協議,高精度、大容量、高品質的高科技時鐘產品。 NTP網路時間服務器設備采用冗余架構設計,高精度時鐘直接來源于北斗 ......

    uj5u.com 2020-09-10 03:52:35 more
  • 詳細解讀電力系統各種對時方式

    詳細解讀電力系統各種對時方式 詳細解讀電力系統各種對時方式 安徽京準電子科技官微——ahjzsz,更多資料請添加VX 衛星同步時鐘是我京準公司開發研制的應用衛星授時時技術的標準時間顯示和發送的裝置,該裝置以M國全球定位系統(GLOBAL POSITIONING SYSTEM,縮寫為GPS)或者我國北 ......

    uj5u.com 2020-09-10 03:52:45 more
  • 如何保證外包團隊接入企業內網安全

    不管企業規模的大小,只要企業想省錢,那么企業的某些服務就一定會采用外包的形式,然而看似美好又經濟的策略,其實也有不好的一面。下面我通過安全的角度來聊聊使用外包團的安全隱患問題。 先看看什么服務會使用外包的,最常見的就是話務/客服這種需要大量重復性、無技術性的服務,或者是一些銷售外包、特殊的職能外包等 ......

    uj5u.com 2020-09-10 03:52:57 more
  • PHP漏洞之【整型數字型SQL注入】

    0x01 什么是SQL注入 SQL是一種注入攻擊,通過前端帶入后端資料庫進行惡意的SQL陳述句查詢。 0x02 SQL整型注入原理 SQL注入一般發生在動態網站URL地址里,當然也會發生在其它地發,如登錄框等等也會存在注入,只要是和資料庫打交道的地方都有可能存在。 如這里http://192.168. ......

    uj5u.com 2020-09-10 03:55:40 more
  • [GXYCTF2019]禁止套娃

    git泄露獲取原始碼 使用GET傳參,引數為exp 經過三層過濾執行 第一層過濾偽協議,第二層過濾帶引數的函式,第三層過濾一些函式 preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'] (?R)參考當前正則運算式,相當于匹配函式里的引數 因此傳遞 ......

    uj5u.com 2020-09-10 03:56:07 more
  • 等保2.0實施流程

    流程 結論 ......

    uj5u.com 2020-09-10 03:56:16 more
最新发布
  • 使用Django Rest framework搭建Blog

    在前面的Blog例子中我們使用的是GraphQL, 雖然GraphQL的使用處于上升趨勢,但是Rest API還是使用的更廣泛一些. 所以還是決定回到傳統的rest api framework上來, Django rest framework的官網上給了一個很好用的QuickStart, 我參考Qu ......

    uj5u.com 2023-04-20 08:17:54 more
  • 記錄-new Date() 我忍你很久了!

    這里給大家分享我在網上總結出來的一些知識,希望對大家有所幫助 大家平時在開發的時候有沒被new Date()折磨過?就是它的諸多怪異的設定讓你每每用的時候,都可能不小心踩坑。造成程式意外出錯,卻一下子找不到問題出處,那叫一個煩透了…… 下面,我就列舉它的“四宗罪”及應用思考 可惡的四宗罪 1. Sa ......

    uj5u.com 2023-04-20 08:17:47 more
  • 使用Vue.js實作文字跑馬燈效果

    實作文字跑馬燈效果,首先用到 substring()截取 和 setInterval計時器 clearInterval()清除計時器 效果如下: 實作代碼如下: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta ......

    uj5u.com 2023-04-20 08:12:31 more
  • JavaScript 運算子

    JavaScript 運算子/運算子 在 JavaScript 中,有一些運算子可以使代碼更簡潔、易讀和高效。以下是一些常見的運算子: 1、可選鏈運算子(optional chaining operator) ?.是可選鏈運算子(optional chaining operator)。?. 可選鏈操 ......

    uj5u.com 2023-04-20 08:02:25 more
  • CSS—相對單位rem

    一、概述 rem是一個相對長度單位,它的單位長度取決于根標簽html的字體尺寸。rem即root em的意思,中文翻譯為根em。瀏覽器的文本尺寸一般默認為16px,即默認情況下: 1rem = 16px rem布局原理:根據CSS媒體查詢功能,更改根標簽的字體尺寸,實作rem單位隨螢屏尺寸的變化,如 ......

    uj5u.com 2023-04-20 08:02:21 more
  • 我的第一個NPM包:panghu-planebattle-esm(胖虎飛機大戰)使用說明

    好家伙,我的包終于開發完啦 歡迎使用胖虎的飛機大戰包!! 為你的主頁添加色彩 這是一個有趣的網頁小游戲包,使用canvas和js開發 使用ES6模塊化開發 效果圖如下: (覺得圖片太sb的可以自己改) 代碼已開源!! Git: https://gitee.com/tang-and-han-dynas ......

    uj5u.com 2023-04-20 08:01:50 more
  • 如何在 vue3 中使用 jsx/tsx?

    我們都知道,通常情況下我們使用 vue 大多都是用的 SFC(Signle File Component)單檔案組件模式,即一個組件就是一個檔案,但其實 Vue 也是支持使用 JSX 來撰寫組件的。這里不討論 SFC 和 JSX 的好壞,這個仁者見仁智者見智。本篇文章旨在帶領大家快速了解和使用 Vu ......

    uj5u.com 2023-04-20 08:01:37 more
  • 【Vue2.x原始碼系列06】計算屬性computed原理

    本章目標:計算屬性是如何實作的?計算屬性快取原理以及洋蔥模型的應用?在初始化Vue實體時,我們會給每個計算屬性都創建一個對應watcher,我們稱之為計算屬性watcher ......

    uj5u.com 2023-04-20 08:01:31 more
  • http1.1與http2.0

    一、http是什么 通俗來講,http就是計算機通過網路進行通信的規則,是一個基于請求與回應,無狀態的,應用層協議。常用于TCP/IP協議傳輸資料。目前任何終端之間任何一種通信方式都必須按Http協議進行,否則無法連接。tcp(三次握手,四次揮手)。 請求與回應:客戶端請求、服務端回應資料。 無狀態 ......

    uj5u.com 2023-04-20 08:01:10 more
  • http1.1與http2.0

    一、http是什么 通俗來講,http就是計算機通過網路進行通信的規則,是一個基于請求與回應,無狀態的,應用層協議。常用于TCP/IP協議傳輸資料。目前任何終端之間任何一種通信方式都必須按Http協議進行,否則無法連接。tcp(三次握手,四次揮手)。 請求與回應:客戶端請求、服務端回應資料。 無狀態 ......

    uj5u.com 2023-04-20 08:00:32 more