由于缺少CSRF,表单验证失败

几天前,我已经重置了我的本地烧瓶环境,而没有pip freeze在删除它之前通过a捕获了依赖关系.因此我不得不重新安装整个堆栈的最新版本.

现在突然之间,我无法再使用表单进行验证.Flask声称CSRF将丢失.

def register():
    form = RegisterForm()
    if form.validate_on_submit():
       ...
    return make_response("register.html", form=form, error=form.errors)

我第一次发送一个Get我form.errors按预期检索一个空.现在我填写表格并提交并form.errors显示:{'csrf_token': [u'CSRF token missing']}

这太奇怪了.我想知道Flask-WTF是否已经改变,我错误地使用它.

我可以清楚地看到form.CSRF_token存在,为什么它声称它丢失了？

CSRFTokenField: 

我从未触及过工作模板,但我在这里发布了它:

{% from "_formhelpers.html" import render_field %}
{% extends "base.html" %}
{% block body %}

    
Register
    {% if error %}
Error: {{ error }}{% endif %}
    

        {{form.hidden_tag()}}
        

            {{ render_field(form.name) }}
            {{ render_field(form.email) }}
            {{ render_field(form.password) }}
            {{ render_field(form.confirm) }}
            

        
    

{% endblock %}

这是一个新bug吗？

更新:

我重新安装了一切,问题仍然存在.

正如Martijn建议的那样,我正在调试以下方法flask_wtf:

def validate_csrf_token(self, field):
        if not self.csrf_enabled:
            return True
        if hasattr(request, 'csrf_valid') and request.csrf_valid:
            # this is validated by CsrfProtect
            return True
        if not validate_csrf(field.data, self.SECRET_KEY, self.TIME_LIMIT):
            raise ValidationError(field.gettext('CSRF token missing'))

最后一个条件是提高验证错误.

field.data = "1391296243.8##1b02e325eb0cd0c15436d0384f981f06c06147ec"
self.SECRET_KEY = None (? Is this the problem)
self.TIME_LIMIT = 3600

你是正确的HMAC比较失败......两个价值观在每次都不同.

return hmac_compare == hmac_csrf

我的配置中定义了SECRET_KEY和CSRF_SESSION_KEY.