Flask-WTFでCSRF対策を実装する方法！フォームを安全に管理しよう

1. CSRFってなに？初心者でもわかるように説明！

1. CSRFってなに？初心者でもわかるように説明！

まず、CSRF（Cross-Site Request Forgery）とは、Webサイトのフォームが悪用されてしまう危険な攻撃のことです。自分の意思とは関係なく、勝手にボタンを押されたり、フォームが送信されてしまったりする状態を想像すると理解しやすいでしょう。

たとえば、あなたがあるサイトにログインしたまま、別の悪意あるページを開いたとします。すると、そのページに仕込まれた仕組みが、あなたが意図していない情報を本物のサイトに送ってしまうことがあります。つまり、「あなたのふりをして勝手に操作される」という非常に危険な状況です。

こうした攻撃を防ぐために必要なのが、CSRFトークンという「正しいユーザーからの送信であることを確認するための鍵」です。これはフォームに隠して埋め込まれ、送信時に一致していなければ処理を拒否する仕組みになっています。

CSRFの仕組みを直感的に理解できる、簡単なイメージ例を用意しました。

# CSRF攻撃のイメージを再現した簡単サンプル
logged_in = True  # あなたがログインしていると仮定

def malicious_page_action():
    if logged_in:
        print("偽のサイトから、あなたの代わりに送信が行われました！")
    else:
        print("ログインしていないため送信できません。")

malicious_page_action()

この例は単純化していますが、実際のCSRF攻撃も「ユーザーがログイン中であること」を悪用し、勝手に操作を実行しようとします。だからこそ、フォームに本人確認のためのCSRFトークンを入れておくことで、不正な送信をしっかり防ぐことができるのです。

2. Flask-WTFとは？CSRF対策の味方！

2. Flask-WTFとは？CSRF対策の味方！

Flask-WTFは、Flask（フラスク）でフォームを扱うときに便利な機能をまとめて提供してくれる「拡張機能」です。ふつうは、フォームを自分で1から作ろうとすると、入力項目を用意して、値のチェックをして、エラーメッセージを出して……と、やることがたくさんあります。

Flask-WTFを使うと、こうした面倒な処理をフォーム用のクラスとしてひとまとめに管理できます。さらに、CSRFトークンを自動で発行してくれるので、Flaskのフォームにセキュリティ対策（CSRF対策）が最初から組み込まれた状態で使える、というのが大きな特徴です。

イメージとしては、「フォームの設計図」と「安全対策」がセットになった便利ツールだと思ってください。Pythonでクラスを1つ用意するだけで、テキスト入力や送信ボタンに加えて、見えないところでCSRFトークンも扱ってくれるので、プログラミング初心者でも安全なWebフォームを作りやすくなります。

たとえば、次のようなシンプルなフォームクラスを作るだけで、CSRF対策付きのフォームの“土台”が用意できます。

from flask_wtf import FlaskForm
from wtforms import StringField, SubmitField

# Flask-WTF を使った簡単なフォームの例
class ContactForm(FlaskForm):
    name = StringField('お名前')
    submit = SubmitField('送信')

このクラス自体には「CSRF」という言葉は出てきませんが、FlaskFormを継承しているおかげで、CSRFトークンが裏側で自動的に扱われます。あとは、このフォームをビューやテンプレート側から呼び出して表示すれば、「Flaskのフォーム」＋「CSRF対策」を同時に実現できる、という流れになります。まずは「フォームもセキュリティも、Flask-WTFがまとめて助けてくれるんだな」とイメージしてもらえれば十分です。

3. Flask-WTFを使ってCSRF対策を実装する手順

3. Flask-WTFを使ってCSRF対策を実装する手順

ここからは、実際にFlask-WTFでCSRF対策付きのフォームを作る具体的な流れを、なるべく手を動かしながら確認していきます。難しいことをしているように見えますが、やることは「インストール」「設定」「フォーム作成」「画面に表示」の4ステップだけです。Flask初心者やプログラミング未経験の人でも、順番にたどれば動くように説明していきます。

① 必要なパッケージをインストールしよう

まずはFlask本体と、フォーム機能＋CSRF対策をまとめて面倒見てくれるFlask-WTFをインストールします。ターミナル（コマンドプロンプト）を開いて、次のコマンドを実行しましょう。

pip install Flask Flask-WTF

これで、FlaskでWebアプリを作るための土台と、「Flaskのフォーム」「CSRF対策」を支えてくれるライブラリがそろいます。インストールが終わったら、次はコードを書いてアプリを動かしていきます。

② Flaskアプリの基本設定

次に、Flaskアプリの本体と、CSRF対策に必要なsecret_key（秘密鍵）を設定します。秘密鍵は「このアプリ専用の合言葉」のようなもので、CSRFトークンを安全に作るために使われます。

from flask import Flask, render_template_string
from flask_wtf import FlaskForm
from wtforms import StringField, SubmitField
from wtforms.validators import DataRequired

app = Flask(__name__)
# CSRFトークンを生成するために必要な秘密のキー
app.secret_key = 'これは秘密のキーです！本番では推測されにくい文字列に変更して使ってください'

app.secret_key を設定しておくことで、Flask-WTFが内部でCSRFトークンを自動生成し、フォームの送信ごとに「本物の画面から送られたかどうか」をチェックできるようになります。FlaskでCSRF対策を行ううえで、この設定は必須です。

③ フォームのクラスを作る

次に、実際に画面に表示するフォームの「設計図」となるクラスを作ります。Flask-WTFでは、FlaskFormを継承したクラスを定義するだけで、フォーム入力・バリデーション・CSRFトークンの扱いなどをまとめて任せられます。

class MyForm(FlaskForm):
    # お名前を入力してもらうテキストボックス
    name = StringField('名前', validators=[DataRequired()])
    # 送信ボタン
    submit = SubmitField('送信')

ここでは「名前」の1項目だけですが、実際にはメールアドレスやコメントなど、項目を増やしていくこともできます。重要なのは、MyFormがFlaskFormを継承している点です。このおかげで、CSRFトークンも自動で扱われ、FlaskフォームとCSRF対策がセットになった安全なフォームクラスになります。

④ ルーティングとテンプレートを用意する

最後に、このフォームを画面に表示し、入力内容を受け取るためのルート（URLの処理）を用意します。ここでは、テンプレートをファイルに分けず、render_template_stringを使ってコード内に直接HTMLを書いています。

@app.route('/', methods=['GET', 'POST'])
def index():
    form = MyForm()  # 先ほど定義したフォームクラスをインスタンス化
    if form.validate_on_submit():
        # フォームが送信され、かつCSRFトークンや必須チェックが通った場合の処理
        name = form.name.data
        return f'こんにちは、{name}さん！'
    
    # 初回表示や、バリデーションに失敗したときはこちらを表示
    return render_template_string('''
        <form method="POST">
            {{ form.hidden_tag() }}
            {{ form.name.label }} {{ form.name() }}<br>
            {{ form.submit() }}
        </form>
    ''', form=form)

if __name__ == '__main__':
    app.run(debug=True)

テンプレート内の {{ form.hidden_tag() }} という1行がとても重要で、ここにCSRFトークンを含む隠しフィールドが自動的に埋め込まれます。見た目には表示されませんが、フォーム送信時にはこのトークンも一緒に送られ、サーバー側で「正しい画面から送られたリクエストかどうか」の確認に使われます。

ここまでの手順を実行するだけで、Flask-WTFを使ったCSRF対策付きフォームが完成します。「Flaskでフォームを作る」「FlaskでCSRF対策を行う」という2つの作業を同時に学べるので、Flaskで安全なWebアプリを作りたい初心者にとって、とても良い練習題材になります。

4. CSRFがあるとどれだけ安全になるの？

4. CSRFがあるとどれだけ安全になるの？

CSRFトークンがあると、他の悪意あるサイトから勝手にフォームを送信されても、トークンが一致しないため拒否されます。

つまり、「これは本当にあなたが送ったフォームですよね？」と確認する鍵のような役割をしています。

Flask-WTFを使えば、この機能が自動で動くので、初心者の方でも安心してフォームを使えます。

5. CSRF対策をしていないとどうなるの？

5. CSRF対策をしていないとどうなるの？

CSRF対策をしていないと、次のような危険があります。

• 誰かが勝手に送信して、あなたの情報を盗む
• あなたが意図していない処理が実行される
• フォームからの情報が信用できなくなる

パソコンに不慣れな人でも、こうした被害に遭わないように、最初からしっかりと対策を入れておくことがとても大切です。

6. Flask-WTFを使うときのポイント整理

6. Flask-WTFを使うときのポイント整理

最後に、Flask-WTFでCSRF対策を入れるときのポイントをおさらいしましょう。

• Flask-WTFは、フォーム作成＋CSRF対策がセットで便利
• app.secret_key を必ず設定する
• フォームのテンプレートに {{ form.hidden_tag() }} を入れる

これで、あなたのFlaskアプリも安全になります！

まとめ

まとめ

Flaskでフォームを扱うときに欠かせない仕組みとして、CSRF対策がどれほど重要なのかを今回あらためて実感できたと思います。とくに、Webアプリケーションが日常のあらゆる場面で使われるようになった現在では、知らないうちに危険な攻撃を受けてしまう可能性は決して珍しいものではありません。そんな中で、Flask-WTFのようにフォームの安全性を確保してくれる仕組みがあるというのは、とても心強いことです。 フォームの内部には、見た目だけではわからない多くの情報が含まれています。入力された内容だけでなく、リクエストが正しい利用者から送られたものなのかどうか、という大切な判断材料もそのひとつです。今回学んだCSRFトークンは、まさにその確認のための鍵の役割を果たしています。フォームごとに固有のトークンを持ち、それが一致する場合のみ受け付けるという流れは、単純ながらとても強い防御になります。 また、実際にコードを書きながら理解を深めることで、抽象的なセキュリティの話がぐっと身近に感じられるようになったはずです。たとえば、app.secret_key の設定が欠かせない理由や、テンプレートの中で {{ form.hidden_tag() }} が自然にCSRFトークンを埋め込んでくれる仕組みは、実際に動かしてみることで初めて実感できる学びです。これらを踏まえると、フォームの安全性を考えることがアプリの品質にも直結していくことがよくわかります。 さらに、今回の内容をきちんと理解しておくことで、ユーザーの大切な情報を守るという意識も自然と育っていきます。フォームは単なる入力欄ではなく、アプリケーションとユーザーをつなぐ重要な入り口であり、そこに信頼できる仕組みを持たせることが結果としてアプリ全体の安心感につながります。こうした基礎の積み重ねが、のちに本格的なサービス構築へ進む際にも活きてくるのです。 下記にCSRFトークンを扱う基本的なコードを整理し、もう一度確認できるようにまとめておきました。細かな部分の動きを忘れてしまったときにも、土台となる考え方が一度しっかり身についていれば応用は自然とできるようになります。少しずつ積み重ねながら、安全で扱いやすいフォームを作れるようになっていきましょう。

CSRF対策コードの再確認

from flask import Flask, render_template_string
from flask_wtf import FlaskForm
from wtforms import StringField, SubmitField
from wtforms.validators import DataRequired

app = Flask(__name__)
app.secret_key = '安全を守るための秘密鍵'

class SampleForm(FlaskForm):
    text = StringField('入力欄', validators=[DataRequired()])
    submit = SubmitField('送信')

@app.route('/', methods=['GET', 'POST'])
def index():
    form = SampleForm()
    if form.validate_on_submit():
        return f"送信された値は：{form.text.data}"
    return render_template_string('''
        <form method="POST">
            {{ form.hidden_tag() }}
            {{ form.text.label }} {{ form.text() }}<br>
            {{ form.submit() }}
        </form>
    ''', form=form)

if __name__ == '__main__':
    app.run(debug=True)

とても短いコードですが、フォームの安全性に必要な要素がしっかり組み込まれています。とくに注目したいのは、{{ form.hidden_tag() }} がフォームに自動的にCSRFトークンを追加する点です。これによって外部からの偽造リクエストは拒否され、正しく送信されたリクエストだけが処理されます。安全なアプリケーションづくりの基本として、この流れを自然に理解しておくことが大切です。

この記事を読んだ人からの質問

この記事を読んだ人からの質問

プログラミング初心者からのよくある疑問／質問を解決します

CSRFとは何の略で、どんな攻撃なんですか？

CSRFとは「Cross-Site Request Forgery（クロスサイト・リクエスト・フォージェリ）」の略で、ユーザーが意図しないリクエストを別サイト経由で送られてしまうセキュリティ上の攻撃です。たとえば、ログイン中に悪意のあるサイトを開くと、自分の知らない間にフォーム送信などが実行されてしまうことがあります。