Flask ile Web Uygulamanızı Güvenli Hale Getirin
Flask, Python’un en popüler ve hafif web framework'lerinden biridir. Sade ve esnek yapısıyla projelerinizi hızla geliştirmenize olanak tanırken, aynı zamanda güvenlik konusunda da dikkatli olmanızı gerektiriyor. Flask ile çalışırken karşılaştığınız en yaygın hatalardan birisi “CSRF Protection Not Enabled” hatasıdır. Peki, bu hata nedir ve nasıl çözülür? Gelin, bu sorunun çözümünü adım adım keşfedelim!
CSRF Nedir ve Neden Önemlidir?
Öncelikle, CSRF'nin (Cross-Site Request Forgery) ne olduğunu anlamak önemli. CSRF, kötü niyetli bir saldırganın, kullanıcının oturum bilgilerini kullanarak onlara ait yetkileri kötüye kullanmasıdır. Bu, kullanıcılar farkında olmadan istenmeyen işlemler yapmasına yol açabilir. Web uygulamanızda CSRF koruması olmazsa, saldırganlar kullanıcıları manipüle edebilir ve bu da büyük güvenlik açıklarına yol açabilir.
‘CSRF Protection Not Enabled’ Hatası: Neden Ortaya Çıkar?
Flask ile bir uygulama geliştirirken, CSRF korumasını varsayılan olarak etkinleştirmediyseniz, form gönderimlerinde bu hatayı alabilirsiniz. Çünkü Flask, CSRF saldırılarına karşı herhangi bir güvenlik önlemi almaz, bu yüzden her form için özel bir koruma eklemeniz gerekmektedir. Bu durum, genellikle form verisi gönderildiğinde ve bu veriler güvenlik açısından doğrulanmadığında meydana gelir.
Hata Mesajı: CSRF Protection Not Enabled
Flask, form verisini sunucuya göndermeden önce bir CSRF token'ı kullanır. Ancak, CSRF koruması etkinleştirilmezse, Flask uygulamanız bu token’ı bekler ancak alamaz ve sonuçta “CSRF Protection Not Enabled” hatasını alırsınız.
Çözüm: Flask CSRF Korumasını Aktif Hale Getirme
Flask uygulamanızda CSRF korumasını etkinleştirmek için Flask-WTF (Flask için WTForms desteği) kullanabilirsiniz. Flask-WTF, CSRF koruması da dahil olmak üzere form doğrulama işlemleri için harika bir araçtır.
1. Flask-WTF'yi Yükleyin:
Öncelikle Flask-WTF kütüphanesini yüklemeniz gerekmektedir. Aşağıdaki komutla bunu yapabilirsiniz:
pip install flask-wtf
2. Flask-WTF'yi Yapılandırın:
Flask-WTF’yi uygulamanıza dahil etmek oldukça basittir. Flask uygulamanızın başında gerekli kütüphaneleri içe aktarıp, CSRF korumasını etkinleştirmeniz yeterlidir.
İşte bir örnek:
from flask import Flask, render_template, request
from flask_wtf import FlaskForm
from wtforms import StringField, SubmitField
from wtforms.validators import DataRequired
from flask_wtf.csrf import CSRFProtect
app = Flask(__name__)
app.config['SECRET_KEY'] = 'gizli_anahtar'
csrf = CSRFProtect(app)
class MyForm(FlaskForm):
name = StringField('Adınız', validators=[DataRequired()])
submit = SubmitField('Gönder')
@app.route('/', methods=['GET', 'POST'])
def index():
form = MyForm()
if form.validate_on_submit():
return f'Form verisi: {form.name.data}'
return render_template('index.html', form=form)
if __name__ == '__main__':
app.run(debug=True)
3. HTML Formu İçin CSRF Token Ekleyin:
Flask-WTF, form gönderileri için CSRF token'ını otomatik olarak ekler. Ancak, HTML formunuzu oluştururken, formu şu şekilde güncelleyerek CSRF korumasını etkinleştirmeniz gerekmektedir:
Burada, `
