Session Flask WTF CSRF会话令牌丢失，找不到密钥

我已经研究了Flask WTF应用程序中关于“CSRF会话令牌丢失”的每一篇帖子，但到目前为止，我在任何有解决方案的帖子中都找不到解决方案，或者我丢失了它而没有看到它

在本例中，我创建了一个登录页面，并且在登录表单的POST/submit上生成了错误

在浏览器开发工具中，我可以在表单数据中看到“csrf_令牌”，但在标题中没有令牌

表单数据来自

 <form method="POST" action="">
    {{ form.hidden_tag() }}
    {{ form.csrf_token() }}

返回预期的机密值：

secret_key = {bytes} b'abc123ced456'
field_name = _get_config(
    token_key, 'WTF_CSRF_FIELD_NAME', 'csrf_token',
    message='A field name is required to use CSRF.'
)

返回

field_name = {str} ‘csrf_token’

而且数据似乎正常：

data = {str} 'IjZiNWY5ZDdiNTZjMTVkM2U0Mzg3MjU1NGMxYzc3Yjg1MTMzYTlhYzEi.XC447w.cmc1INq6u8qVuq0EOL9ARcPwB6k'

但由于“字段名称”不在会话中，因此失败

if field_name not in session:
    raise ValidationError('The CSRF session token is missing.')

所以问题是为什么

我还从login form方法中得到一个检查键/值的错误

@app.route("/login", methods=['GET', 'POST'])
def login():
    test = session['secret_key']

KeyError:“机密密钥”

app.secret\u密钥如何到达会话“secret\u密钥”？ 这似乎没有发生

app.py login.html 请求结果 回应 请求将军 响应头 请求头 表单数据

{{form.hidden_tag（）}

应该扩展为类似

<input id="csrf_token" name="csrf_token" type="hidden" value="... long string ...">

如果您没有看到，请仔细检查您如何设置应用程序的配置部分。除了

SECRET\u KEY

，您是否设置了任何

WTF\u

选项

您可能需要删除

{{form.csrf_token（）}

不涉及

X-

标题。（我快速检查了我的一个应用程序，以防忘了什么。）

查看cookie的“安全”属性是否已设置。如果这是真的，并且您正在呼叫一个不安全的网站，cookie将不会被发送。我发现这是CSRF令牌丢失问题的原因。

我昨天遇到了“CSRF令牌丢失”问题，幸运的是，我找到了我的案例的原因。我已经在Gunicorn+Nginx上使用sync workers配置部署了我的Flask应用程序，这就是问题所在。Flask无法使用Gunicorn的同步工作程序，因此转到线程解决了我的问题

gunicorn--workers 1--threads 3-b 0.0.0.0:5000 wsgi:app

---

来自@brian的答案对我有用。问题是我在一个带有localhost设置的测试环境中，没有HTTPS服务

请参阅更多：

将以下配置设置为False可在非生产环境（测试环境）中加载会话cookie

app.config['SESSION\u COOKIE\u SECURE']=False

---

是-在提交表单和帖子之前，我在代码中看到了我设置的选项，其中包括WTF_CSRF_SECRET_KEY，我特别尝试过，尽管它应该使用默认的SECRET_KEY，WTF_CSRF_ENABLED为True也如前所述，我在表单数据中看到了CSRF_标记值，但不确定是否正确唯一突出的是

CSRF.init_app（app）

发生在更改配置设置之前。这似乎很危险。（我没有在我的应用程序中显式地

init_app

django_wtf.csrf

，因为它会惰性地发生。）在什么时候你会考虑上面的代码？很难找到关于何时按什么顺序做什么的明确文档/信息…我的flask应用程序中没有一个使用

flask_wtf

显式初始化csrf。我尝试将csrf.init_应用程序（应用程序）移动到我能想到的每一个顺序，结果相同。当我删除它-我现在得到一个不同的错误“{'csrf_token'：['csrf tokens not match.]}”你解决了这个问题吗？我现在也遇到过。布鲁斯-不，我放弃了。使用Flask本来可以节省我的时间却浪费在这样的事情上了你在哪里/如何部署应用程序？当我在一个免费的heroku部署上部署时，我也遇到了同样的问题，但它只是偶尔发生。我有点确信，问题在于heroku在不同的服务器/dyno上启动了应用程序容器，而不是启动它的服务器/dyno。执行此操作时，CSRF令牌与会话不匹配。同样，这只是我的猜测，但似乎与我看到的症状相符。我也有同样的问题，有人找到了解决方案？我在找到解决方案之前放弃了烧瓶-但是Brian DeRocher下面的评论可能值得尝试…如果你没有使用Gunicorn，仔细研究您的容器/服务器，因为它可能是原因。您知道它之间的关系吗？我不确定，但我认为这是因为web服务器（Gunicorn）为相应的FLASK实例创建了独立的操作系统进程。这些实例没有同步或相互通信，因为FLASK不支持这一点（我知道）。

from flask import Flask, render_template, url_for, flash, redirect,  Response, jsonify, abort, session
from flask_session import Session
from flask_wtf.csrf import CSRFProtect
from flask_cors import CORS

from flask_login import  LoginManager,UserMixin,current_user,login_required,login_user,logout_user

from forms import RegistrationForm, LoginForm, TimecardForm
from employees import employees

csrf = CSRFProtect()

app = Flask(__name__)
csrf.init_app(app)

app.config['SECRET_KEY'] = os.getenv('SECRET_KEY') or \
    'abc123ced456'

app.config['SESSION_TYPE'] = 'memcached'
app.config['WTF_CSRF_ENABLED'] = True
app.config['WTF_CSRF_SECRET_KEY'] = os.getenv('SECRET_KEY') or \
    'abc123ced456'
app.config['SESSION_COOKIE_SECURE'] =  True
app.config['REMEMBER_COOKIE_SECURE'] =  True

CORS(app)
sess = Session()
sess.init_app(app)


login_manager = LoginManager()
login_manager.init_app(app)
login_manager.session_protection = "strong"
login_manager.login_view = 'login'


@login_manager.user_loader
def load_user(userid):
    result = None
    emp_collection = employees.oEmployeeCollection()
    emp_collection.getAllEmployees(None, None)
    result = emp_collection.getEmployee(userid)

    return result

@app.route("/login", methods=['GET', 'POST'])
def login():
    form = LoginForm()

    if form.validate_on_submit():
        emp_collection = employees.oEmployeeCollection()
        emp_collection.getAllEmployees(None, None)
        current_user = emp_collection.getEmployee(form.user_init.data.upper())

        if current_user is not None:
            if current_user.password == form.password.data:
                login_user(current_user, remember=True)
                sess['current_user'] = current_user.toJSON()

                flash('You have been logged in!', 'success')

                #next = flask.request.args.get('next')
                ## is_safe_url should check if the url is safe for redirects.
                #if not is_safe_url(next):
                #    return flask.abort(400)
                #return flask.redirect(next or flask.url_for('index'))

                return redirect(url_for('home'))
            else:
                flash('Login Unsuccessful. Please check username and password', 'danger')

        else:
            flash('Login Unsuccessful. Please check username and password', 'danger')

    flash(form.errors)
    return render_template('login.html', title='Login', form=form)


@app.before_first_request
def execute_this():
    # emp_collection.getAllEmployees(None, None)
    test = None

if __name__ == '__main__':
    app.run(host='flask.local', port=5000, debug=False)

{% extends "template.html" %}
{% block content %}
    <div class="content-section">
        <form method="POST" action="">
            {{ form.hidden_tag() }}
            {{ form.csrf_token() }}

            <fieldset class="form-group">
                <legend class="border-bottom mb-4">Log In</legend>

                <div class="form-group">
                    {{ form.user_init.label(class="form-control-label")}}
                    {% if form.user_init.errors %}
                        {{ form.user_init(class="form-control form-control-lg is-invalid") }}
                        <div class="invalid-feedback">
                            {% for error in form.user_init.errors %}
                                <span>{{ error }}</span>
                            {% endfor %}
                        </div>
                    {% else %}
                        {{ form.user_init(class="form-control form-control-lg") }}
                    {% endif %}
                </div>
                <div class="form-group">
                    {{ form.password.label(class="form-control-label") }}
                    {% if form.password.errors %}
                        {{ form.password(class="form-control form-control-lg is-invalid") }}
                            <div class="invalid-feedback">
                            {% for error in form.password.errors %}
                                <span>{{ error }}</span>
                            {% endfor %}
                        </div>
                    {% else %}
                        {{ form.password(class="form-control form-control-lg") }}
                    {% endif %}
                </div>
                <div class="form-check">
                    {{ form.remember(class="form-check-input") }}
                    {{ form.remember.label(class="form-check-label") }}
                </div>
            </fieldset>
            <div class="form-group">
                {{ form.submit(class="btn btn-outline-info") }}
            </div>
            <small class="text-muted ml-2">
                <a href="#">Forgot Password?</a>
            </small>
        </form>
    </div>
    <div class="border-top pt-3">
        <small class="text-muted">
            Need An Account? <a class="ml-2" href="{{ url_for('register') }}">Sign Up Now</a>
        </small>
    </div>
{% endblock content %}

from flask_wtf import FlaskForm
from wtforms import StringField, PasswordField, SubmitField,      BooleanField, DateField, DecimalField
from wtforms.validators import DataRequired, Length, Email, EqualTo

class LoginForm(FlaskForm):
    user_init = StringField('User',  validators=[DataRequired()])
    password = PasswordField('Password', validators=[DataRequired()])
    remember = BooleanField('Remember Me')
    submit = SubmitField('Login')

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<title>400 Bad Request</title>
<h1>Bad Request</h1>
<p>The CSRF session token is missing.</p>

Content-Type →text/html
Content-Length →142
Access-Control-Allow-Origin →*
Set-Cookie →session=ad0a88f2-4048-4a3b-9934-c2cd5957e9ff; Expires=Sun, 03-Feb-2019 14:55:27 GMT; HttpOnly; Path=/
Server →Werkzeug/0.14.1 Python/3.7.1
Date →Thu, 03 Jan 2019 14:55:27 GMT

Request URL: http://localhost:5000/login
Request Method: POST
Status Code: 400 BAD REQUEST
Remote Address: 127.0.0.1:5000
Referrer Policy: no-referrer-when-downgrade

Access-Control-Allow-Origin: http://localhost:5000
Content-Length: 150
Content-Type: text/html
Date: Thu, 03 Jan 2019 14:47:18 GMT
Server: Werkzeug/0.14.1 Python/3.7.1
Set-Cookie: session=62e6139c-332b-4811-ad3a-de5c29c878aa; Expires=Sun, 03-Feb-2019 14:47:18 GMT; HttpOnly; Path=/
Vary: Origin

POST /login HTTP/1.1
Host: localhost:5000
Connection: keep-alive
Content-Length: 258
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
Origin: http://localhost:5000
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://localhost:5000/login
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9

Cookie: Webstorm-655f3561=d5da8892-b9fc-4680-8fe8-17baf5fd6f8d;session=62e6139c-332b-4811-ad3a-de5c29c878aa

csrf_token=ImI5ZDlkYjZmNjkxMDZlZDczZjdlY2VjMTM2NTQzOWZlMDBkYTY1ZWMi.XC4gZQ.DVyKZ07nrQN6WZn0jmoHyKrf_YI&
        csrf_token=ImI5ZDlkYjZmNjkxMDZlZDczZjdlY2VjMTM2NTQzOWZlMDBkYTY1ZWMi.XC4gZQ.DVyKZ07nrQN6WZn0jmoHyKrf_YI&user_init=ABC&password=changeme&remember=y&submit=Login

<input id="csrf_token" name="csrf_token" type="hidden" value="... long string ...">