2

我使用带有 Flask-WTF 扩展的 WTForms 和 Flask

我的表格如下所示:

class CommentForm(Form):
    body = TextAreaField('Body', [validators.Length(min=4, max=300)])
    entity_id = HiddenField('Entity ID', [validators.required()])

Jinja2 模板:

 <form method="POST" action="{{ request.url }}#comment-question" id="comment-question">
     <div>{{ comment_form.body }} <button type="submit">Submit</button></div>
     {{ comment_form.entity_id(value=question.id) }}
     {{ comment_form.hidden_tag() }}
 </form>

呈现形式:

<form method="POST" action="http://localhost:5000/answers/1/question-0#comment-question" id="comment-question">
  <div><textarea id="body" name="body"></textarea> <button type="submit">Submit</button></div>
  <input id="entity_id" name="entity_id" type="hidden" value="1">
  <div style="display:none;"><input id="csrf_token" name="csrf_token" type="hidden" value="20120507081937##ee73cc3cfc053266fef78b48cc645cbf90e8fba6"><input id="entity_id" name="entity_id" type="hidden" value=""></div>
</form>

是否可以在不更改表单“操作”并进行重定向的情况下防止在浏览器刷新按钮单击时提交双重表单?

4

1 回答 1

4

我没有太多使用 WTForms 或 Flask 的经验,但是基于 Django 类的视图通过在 POST 之后重定向来防止双重发布,所以我假设执行重定向是处理这类事情的方法。

一种替代方法是生成一个唯一令牌并将其附加到您的表单参数(很像 CSRF 令牌)。缓存此值并在提交表单时对其进行检查。可以在此处找到Django 的一个相当原始的示例。

编辑:示例代码

虽然我真的会在成功提交表单后执行重定向,但这里有一个生成表单令牌的示例,它大量借鉴了 CSRF 保护的这个 Flask 片段

# yourapp/views/filters.py

import random
from string import ascii_letters, digits

from flask import request, session, redirect
from yourapp import app


def generate_form_token():
    """Sets a token to prevent double posts."""
    if '_form_token' not in session:
        form_token = \
            ''.join([random.choice(ascii_letters+digits) for i in range(32)])
        session['_form_token'] = form_token
    return session['_form_token']


@app.before_request
def check_form_token():
    """Checks for a valid form token in POST requests."""
    if request.method == 'POST':
        token = session.pop('_form_token', None)
        if not token or token != request.form.get('_form_token'):
            redirect(request.url)


app.jinja_env.globals['form_token'] = generate_form_token

在您的模板中:

<!-- Again, I've never used WTForms so I'm not sure if this would change when using that app. -->
<input type='hidden' name='_form_token' value='{{ form_token() }}' />

请注意,在代码段中使用 CSRF 保护方法也可以实现几乎相同的效果(尽管上面的代码执行重定向,而代码段返回 403)。

但这确实引出了一个问题——如果您正在对无效令牌执行重定向,为什么不摆脱所有这些复杂性并在成功提交表单时重定向?

于 2012-05-07T05:46:13.717 回答