tornado 进阶(csrf 和 文件上传)

最新推荐文章于 2022-03-23 20:50:28 发布
最新推荐文章于 2022-03-23 20:50:28 发布
阅读量153 收藏
点赞数
分类专栏: tornado
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DeskyAki/article/details/100095534
版权

 

一  csrf

settings = {
    "xsrf_cookies": True,
}
application = tornado.web.Application([
    (r"/", MainHandler),
    (r"/login", LoginHandler),
], **settings)
<form action="/new_message" method="post">
  {{ xsrf_form_html() }}
  <input type="text" name="message"/>
  <input type="submit" value="Post"/>
</form>

ajax发跨域请求    本质上就是去获取本地的cookie,携带cookie再来发送请求

function getCookie(name) {
    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return r ? r[1] : undefined;
}

jQuery.postJSON = function(url, args, callback) {
    args._xsrf = getCookie("_xsrf");
    $.ajax({url: url, data: $.param(args), dataType: "text", type: "POST",
        success: function(response) {
        callback(eval("(" + response + ")"));
    }});
};

二 上传文件

1 form 表单上传文件

<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
    <title>上传文件</title>
</head>
<body>
    <form id="my_form" name="form" action="/index" method="POST"  enctype="multipart/form-data" >
        <input name="fff" id="my_file"  type="file" />
        <input type="submit" value="提交"  />
    </form>
</body>
</html>
import tornado.ioloop
import tornado.web


class MainHandler(tornado.web.RequestHandler):
    def get(self):

        self.render('index.html')

    def post(self, *args, **kwargs):
        file_metas = self.request.files["fff"]
        # print(file_metas)
        for meta in file_metas:
            file_name = meta['filename']
            with open(file_name,'wb') as up:
                up.write(meta['body'])

settings = {
    'template_path': 'template',
}

application = tornado.web.Application([
    (r"/index", MainHandler),
], **settings)


if __name__ == "__main__":
    application.listen(8000)
    tornado.ioloop.IOLoop.instance().start()

注意文件文件上传不太一样

2 ajax 上传

js上传

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    <input type="file" id="img" />
    <input type="button" onclick="UploadFile();" />
    <script>
        function UploadFile(){
            var fileObj = document.getElementById("img").files[0];

            var form = new FormData();
            form.append("k1", "v1");
            form.append("fff", fileObj);

            var xhr = new XMLHttpRequest();
            xhr.open("post", '/index', true);
            xhr.send(form);
        }
    </script>
</body>
</html>

HTML - XMLHttpRequest

jQ上传


<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    <input type="file" id="img" />
    <input type="button" onclick="UploadFile();" />
    <script>
        function UploadFile(){
            var fileObj = $("#img")[0].files[0];
            var form = new FormData();
            form.append("k1", "v1");
            form.append("fff", fileObj);

            $.ajax({
                type:'POST',
                url: '/index',
                data: form,
                processData: false,  // tell jQuery not to process the data
                contentType: false,  // tell jQuery not to set contentType
                success: function(arg){
                    console.log(arg);
                }
            })
        }
    </script>
</body>
</html>

3 iframe 一直没用过

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    <form id="my_form" name="form" action="/index" method="POST"  enctype="multipart/form-data" >
        <div id="main">
            <input name="fff" id="my_file"  type="file" />
            <input type="button" name="action" value="Upload" onclick="redirect()"/>
            <iframe id='my_iframe' name='my_iframe' src=""  class="hide"></iframe>
        </div>
    </form>

    <script>
        function redirect(){
            document.getElementById('my_iframe').onload = Testt;
            document.getElementById('my_form').target = 'my_iframe';
            document.getElementById('my_form').submit();

        }
        
        function Testt(ths){
            var t = $("#my_iframe").contents().find("body").text();
            console.log(t);
        }
    </script>
</body>
</html>

4 后端代码都一样

参考 https://www.cnblogs.com/wupeiqi/articles/5702910.html

 

苟修今
关注
专栏目录
文件上传CSRF漏洞的简单介绍
weixin_55837124的博客
06-24 345
文件上传漏洞的原理 Web应用程序通常会文件上传的功能, 例如在 BBS发布图片 ,在个人网站发布ZIP压缩 包,在办公平台发布DOC文件等 , 只要Web应用程序允许上传文件,就有可能存在文件上传漏 洞。 文件上传漏洞的危害 导致网站甚至整个服务器被控制,恶意的脚本文件又称为WebShell,WebShell具有强大的功能,如查看服务器目录、执行系统命令等。 文件上传漏洞的利用 1.上传Web脚本程序,Web容器解释执行上传的恶意脚本。 2...
进阶】 --- 多线程、多进程、异步IO实用例子
墨鱼菜鸡
07-11 1068
进阶】 --- 多线程、多进程、异步IO实用例子:https://blog.csdn.net/lu8000/article/details/82315576 python之爬虫_并发(串行、多线程、多进程、异步IO):https://www.cnblogs.com/fat39/archive/2004/01/13/9044474.html Pyth...
Python学习笔记——Tornado深入
唯恋殊雨的博客
08-27 3378
目录 3.1 Application settings 路由映射 3.2 输入 1. 获取查询字符串参数 2. 获取请求体参数 3. 前两类方法的整合 思考 4. 关于请求的其他信息 5. 正则提取uri 3.3 输出 1. write(chunk) 2. set_header(name, value) 3. set_default_headers() 4. set_...
tornado框架——进阶
weixin_30952103的博客
01-22 108
tornado框架——进阶 自定义Session组件 Session 面向对象基础 面向对象中通过索引的方式访问对象,需要内部实现 __getitem__ 、__delitem__、__setitem__方法 class Foo(object): def __getitem__(self, key): print '__getitem__',key ...
02: tornado进阶
weixin_30782331的博客
12-12 180
目录:Tornado其他篇 01: tornado基础篇 02: tornado进阶篇 03: 自定义异步非阻塞tornado框架 04: 打开tornado源码剖析处理过程 目录: 1.1 自定制tornado路由分层 1.2 cookie 1.3 tornado之自定义session 1.4 tornado中解决csrf 1.5 tornado重定向错误 ...
利用csrf漏洞上传文件
Fly_鹏程万里
12-17 1085
大家都知道通常用csrf来上传一个文件不是很简单的.问题在于我们创建的假的表单提交的数据跟浏览器文件上传提交的数据有一点不同.那就是上传的请求会有一个filename的参数: -----------------------------256672629917035 Content-Disposition: form-data; name="file"; filename="test2.txt"...
【django核心文件上传处理】:大文件存储与性能优化的实战指南
在Web应用开发中,文件上传是极其常见和关键的功能之一。Django作为一款流行的Python Web框架,提供了强大而灵活的文件上传处理机制。本章将概述Django处理文件上传的核心概念和工作流程,为后续章节深入探讨奠定...
最强面试题整理第三弹:Python 后台开发面试题(附答案)
Rocky0429
08-18 7804
大家好呀,我是 Rocky0429。 Python 面试的时候,会涉及到很多的八股文,我结合自己的经验,整理Python 最强面试题。 Python 最强面试题主要包括以下几方面: Python 基础(已完成) Python 进阶(已完成) Python 后台开发 爬虫 机器学习 对每道面试题会附带详细的答案,无论是准备面试还是自己学习,这份面试题绝对值得你去看,去学习。 Flask 1、Flask 中请求上下文和应用上下文的区别和作用? current_app、g 是应用上下文。 request、s
国内某Python大神自创完整版,系统性学习Python
BCXQ2020的博客
05-19 1934
1.很多小伙伴纠结于这个一百天的时间,我觉得完全没有必要,也违背了我最初放这个大纲上来的初衷,我是觉得这个学习大纲还不错,自学按照这个来也能相对系统的学习知识,而不是零散细碎的知识最后无法整合,每个人的基础以及学习进度都不一样,没有必要纠结于一百天这个时间,甭管你是用三个月还是用一年来学习这些东西,最后学到了不就是收获吗?何必纠结于这一百天,觉得这一百天学习不完我就放弃了呢?(另,项目后面没有更新完,大家可以按照这个框架去学习,没有更新完的大家可以自行找资料。) 给初学者的几个建议: Make Eng
Python九十天学习框架,从1到90,从0基础到IQ100
世上本无鬼
08-13 744
每个人的基础以及学习进度都不一样,不管最后是90天学会,还是三个月,或是更久,自学按照这个来也能相对系统的学习知识,而不是零散细碎的知识最后无法整合,所以不管怎么样,学习得有个自己的框架,下面一起来看下,希望对于你们有帮助。 Day01 - 初识Python Python简介 - Python的历史 Python的优缺点 Python的应用领域搭建编程环境 - Windows环境 Linux环境 MacOS环境从终端运行Python程序 - Hello, world print函数 运行程序使用IDLE
全套百度云教程:python基础+进阶+项目篇 (含Django和Tornado)
04-25
全套百度云教程:python基础+进阶+项目篇 (含Django和Tornado)
tornadocsrf
weixin_34072857的博客
04-03 136
csrf用于防止跨站请求伪造 启用csrf后,在get访问时分配给客户端一个token,客户端在提交POST时请求时需提交此token才可以正常提交, 如果没有提交或提交的token值不正确,那么提交后就会被“403: Forbidden”阻止 使用csrf时,首先在setting中开启使用csrf: settings = { 'template_path':'views', ...
CSRF原理介绍及文件上传
weixin_45735361的博客
02-27 677
CSRF原理介绍 CSRF漏洞定义 CSRF(cross-site request forery,跨站请求伪造),也被称为one click attack或者session riding,通过缩写为CSRF或者XSRF XSS与CSRF区别 1.XSS利用站点内的信任用户,盗取cookie 2.CSRF通过伪装成受信任用户请求信任的网站 CSRF漏洞原理 利用目标用户的合法身份,以目标...
函数进阶之结合tornado
a757259154的博客
07-31 137
一、本篇博文内容 1、协程函数 2、面向过程编程 3、递归和二分法 View Code 二、协程函数 协程函数:就是使用了yield表达式形式的生成器 首先函数的传参有几种? 三种: 1、实参形参传参 2、闭包的形式传参 3、就是通过yield的方式传参。好处:不用重复的申请局部内存空间 yield的表达式形式的应用 def eater(...
python进阶ing——创建第一个Tornado应用
热门推荐
jeepxiaozi的专栏
06-02 2万+
每天在群里跟很多群友讨论一些问题,觉得对自己的技术提升有很大的帮助,也可以集思广益,学到一些自己以前从没有接触到过的东西,比如Tornado,最近听见群里好多朋友都在讨论这个,于是我也跟风了解了一下。 Tornado是一个高效可扩展的非阻塞式web服务器以及其相关工具的开源版本,和当前主流的web服务器框架相比,明显的区别就在于它是非阻塞式服务器,而且速度相当快,这得益于它的非阻塞方式和对epo
javascript中cookie的使用与解析
_再见阿郎_的专栏
09-21 771
在最近开发的两个项目中,实现登录界面中的记住密码功能,使用到了cookie,回顾发现使用的cookie方式不太一样:           第一种是自己编写封装的方法。           第二种使用的是jQuery支持的cookie。      接下来分别对这两种方式进行对比和比较。 1、通过JavaScript操作DOM的document的cookie,自定义代码如下:
解决Spring Security 表单上传文件CSRF失效的问题
MONKEYK
01-30 6346
在Spring Security4中引入的CSRF是不错的安全机制. 但在常用的上传文件中(form提交, post, 使用commons-fileupload)会导致CSRF失效, 这问题的根源在于CSRF无法获取表单中的_csrf 的值引起的(可在CsrfFilter打断点查看). 之前我也被这问题困惑了一天, 不知如何是好. 解决之道如下: 1.升级项目中使用的Ser
Tornado 使用经验【防范 跨站伪造请求CSRF 或 XSRF;2、防止伪造 cookie 】
qq_27009517的博客
12-15 462
文章来源:http://www.tuicool.com/articles/qYzEru 最近在做一个网站的后端开发。因为初期只有我一个人做,所以技术选择上很自由。在 web 服务器上我选择了 。虽然曾经也读过它的源码,并做过一些小的 demo,但毕竟这是第一次在工作中使用,难免又发现了一些值得分享的东西。 首先想说的是它的安全性,这方面确实能让我感受到它的良苦用心。这主要可以分为两点: 防范跨站伪造请求(Cross-site request forgery,简称 CSRF 或 XSRF)。 ...
SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5785
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
在Windows 7和10上如何使用Tornado进行文件替换
以下是根据标题、描述、标签和文件列表生成的相关知识点: 1. Tornado框架概述: Tornado是一个Python编写的一个高效的网络框架和异步网络库。它适用于需要处理高并发连接的Web应用,比如聊天服务、实时通信服务等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值