Tornado框架08-应用安全

最新推荐文章于 2024-08-14 16:39:57 发布
最新推荐文章于 2024-08-14 16:39:57 发布
阅读量546 收藏
点赞数 1
分类专栏: tornado 文章标签: tornado cookie 应用安全 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31518167/article/details/78277987
版权

普通cookie

1.设置

原型

self.set_cookie(name,value,domain=None,expires=None,path="/",expires_days=None,**kwargs)

参数

属性作用
namecookie的名称
valuecookie值
domain提交cookie时匹配的域名
path提交cookie时匹配的路径
expires设置cookie的有效期,可以是时间戳、事件元组、或者datetime类型对象。
expires_days设置cookie的有效期天数,优先级低于expries

实例

class SetpCookieHandler(RequestHandler):
    def get(self, *args, **kwargs):
        self.set_cookie("sunck","good")
        self.set_header("Set-Cookie", "kaige=nice; Path=/")
        self.write("ok")

2.原理

设置cookie实际上是通过该设置header的Set-Cookie来实现的

3.获取

原型:

self.get_cookie(name,default=None)

作用

获取名为name的cookie的值,如果name不存在且设置了default属性,则返回default的值

实例

class GetCookieHandler(RequestHandler):
    def get(self, *args, **kwargs):
        cookie = self.get_cookie("sunck")
        self.write(cookie)

4.清除

清除名为name,并同时匹配domain和path的cookie

self.clear_cookie(name,path="/",domain=None)

清除同时匹配domino的和path的cookie

self.clear_all_cookies(path='/',domain=None)

注意:

执行清除操作后,并不是立即删除浏览器中的cookie,而是给cookie值设置为空,并改变其有效期为失效。真正的删除是有浏览器去管理的

安全cookie

1.概述

Cookie是存储在客户端浏览器上,很容易被篡改。

Tornado提供了一种相对于安全的方案,对cookie进行简易加密(用签名的方法),防止cookie被随意的篡改

2.设置

需要配置一个用来给Cookie进行混淆的秘钥

"cookie_secret":"HTqWqcJpRA6Js2kPEQVIy9CvgddvPk1RhmsQMGmqzC8="

设置一个带签名和时间戳的cookie

self.set_secure_cookie(name,value,expires_days=30,version=None,**kwargs)

实例

class SetsCookieHandler(RequestHandler):
    def get(self, *args, **kwargs):
        self.set_secure_cookie("liudehua","buru sunck handsome")
        self.write("OK")

3.值

"2|1:0|10:1508307760|8:liudehua|28:YnVydSBzdW5jayBoYW5kc29tZQ==|057d78aa76d44b47636b96b7925323238a14778b1216e78297613689e3a47ac0"

安全cookie的版本,默认使用的第2版
默认为0
时间戳
cookie名
base64编码的cookie值
签名值,不带长度前缀

4.获取

self.get_secure_cookie(name=,value=None,max_age_days=31,min_version=None)

功能:

如果cookie存在且验证通过,返回cookie的值,否则返回None

参数:不同于expries_days,max_age_days是过滤安全cookie的时间戳

max_age_days

实例

class GetsCookieHandler(RequestHandler):
    def get(self, *args, **kwargs):
        cookie = self.get_secure_cookie("liudehua")
        self.write(cookie)

02-XSRF

跨站请求伪造

当访问“搞事情”网站时,在我们不知道的情况下“计数器”网站的cookie被使用。以至于让服务器认为是“计数器”在访问

在这里使用的是GET方式模拟的跨站攻击,为了防范跨站攻击,任何会产生副作用的HTTP请求(点击添加购物车、编辑用户信息、修改密码等操作),都是用POST请求。有保护POST请求的策略

class CookieNumHandler(RequestHandler):
    def get(self, *args, **kwargs):
        count = self.get_cookie("count", "0")
        count = str(int(count) + 1)
        self.set_cookie("count", count)
        self.render('cookienum.html', count=count)
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>搞事情</title>
</head>
<body>
    <img src="http://127.0.0.1:8000/cookienum" alt="">
    <h1>我在搞事情,去看看吧</h1>
</body>
</html>

XSRF保护

同源策略:所谓同源是指,域名,协议,端口相同。 不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。
由于第三方站点没有访问cookie数据的权限(同源策略),所以我们可以要求每个请求包括一个特定的参数值作为令牌来匹配存储在cookie中的对应值,如果两者匹配,我们的应用认定请求有效。而第三方站点无法在请求中包含令牌cookie值,这就有效地防止了不可信网站发送未授权的请求。

开启XSRF

在配置中添加‘xsrf_cookie’:True

"xsrf_cookie":True,

应用

模板中:
为浏览器设置的_xsrf的cookie(注意:该cookie会在浏览器关闭后失效)

为模板的表达式中添加了一个隐藏的输入域,name属性为_xsrf,value属性为名为_xsrf的cookie的值

<body>
    <form action="/postfile" method="post">
        {% module xsrf_form_html() %}
        姓名:<input type="text" name="username"/>
        <hr/>
        密码:<input type="password" name="passwd"/>
        <input type="submit" value="登陆"/>
    </form>
</body>

非模板中

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script type="text/javascript" charset="utf-8" src="{{static_url('js/jquery.min.js')}}"></script>
</head>
<body>
    姓名:<input id="name" type="text" name="username"/>
    <hr/>
    密码:<input id="pass" type="password" name="passwd"/>
    <button onclick="login()">登陆</button>

    <script>
        function getCookie(name){
            var cook = document.cookie.match("\\b"+name+"=([^;]*\\b)")
            return cook ? cook[1] : undefined
        }
        function login(){
            $.post("/postfile", "_xsrf=" + getCookie("_xsrf")+"&username=sunck&passwd=123", function(data){
                alert("OK")
            })
        }
    </script>
</body>
</html>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script type="text/javascript" charset="utf-8" src="{{static_url('js/jquery.min.js')}}"></script>
</head>
<body>
    姓名:<input id="name" type="text" name="username"/>
    <hr/>
    密码:<input id="pass" type="password" name="passwd"/>
    <button onclick="login()">登陆</button>

    <script>
        function getCookie(name){
            var cook = document.cookie.match("\\b"+name+"=([^;]*\\b)")
            return cook ? cook[1] : undefined
        }
        function login(){
            info = {
                "username":"kaige",
                "age":19
            }
            jsonInfo = JSON.stringify(info)
            $.ajax({
                url:"/postfile",
                method:"POST",
                data:jsonInfo,
                success:function(data){
                    alert("OK2")
                },
                headers:{
                    "X-XSRFToken":getCookie("_xsrf")
                }
            })
        }
    </script>
</body>
</html>

需要在进入主页时就自动设置_xsrf的cookie,可以通过定义tornado.web.StaticFileHandler子类而实现

class StaticFileHandler(tornado.web.StaticFileHandler):
    def __init__(self, *args, **kwargs):
        super(StaticFileHandler,self).__init__(*args, **kwargs)
        self.xsrf_token

03-用户验证

在受到用户的请求后进行预处理验证用户的登陆状态,通过验证正常处理,否则强制用户跳转到登录界面

确保修饰的方法只有在验证合法才可以被调用

@tornado.web.authenticated装饰器

验证用户的逻辑写在该方法中,如果返回True说明验证成功
如果返回False,说明验证失败。验证失败会重定向到配置文件中login_url所指定的路由上

get_current_user()方法
"login_url":"/login"

实例

class HomeHandler(RequestHandler):
    def get_current_user(self):
        flag = self.get_argument("flag", None)
        return flag
    @tornado.web.authenticated
    def get(self, *args, **kwargs):
        self.render('home.html')
class CartHandler(RequestHandler):
    def get_current_user(self):
        flag = self.get_argument("flag", None)
        return flag
    @tornado.web.authenticated
    def get(self, *args, **kwargs):
        self.render('cart.html')
class loginHandler(RequestHandler):
    def get(self, *args, **kwargs):
        next = self.get_argument("next", "/")
        url = "/login?next=" + next
        self.render('login.html', url=url)
    def post(self, *args, **kwargs):
        name = self.get_argument("username")
        pswd = self.get_argument("passwd")
        if name == "sunck" and pswd == "1234567890a":
            #登陆成功,哪里来哪里去
            next = self.get_argument("next", "/")
            self.redirect(next+"?flag=logined")
        else:
            #登陆失败,还嘚瑟啥
            next = self.get_argument("next", "/")
            self.redirect('/login?next='+next)
Python小学生
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tornado-4.5.2-cp36-cp36m-win_amd64.zip
04-28
Tornado 是一个强大的 Python Web 开发框架和异步网络库,它以其高性能、低延迟的特性而备受赞誉。这个压缩包“tornado-4.5.2-cp36-cp36m-win_amd64.zip”包含了适用于 Python 3.6 的 Tornado 框架版本 4.5.2,特别...
Python库 | tornado-swirl-0.1.9.tar.gz
03-11
Tornado-Swirl,一个基于Python的轻量级库,是Tornado框架的扩展,版本0.1.9,封装了Tornado的一些功能,旨在帮助开发者更高效地构建高性能、异步网络应用程序。在本文中,我们将深入探讨Tornado-Swirl的核心特性和...
tornado框架demo
11-14
在“tornado框架demo”中,我们将会探讨如何利用 Tornado 实现企业级的Web应用,包括数据操作以及用户认证等关键功能。 ### 一、Tornado 框架基础 1. **异步非阻塞I/O**: Tornado 的核心是它的 IOLoop(事件循环)...
Tornado开发RESTful-API运用
06-18
### 使用Tornado开发RESTful API应用 #### 一、RESTful API...通过以上步骤,我们可以使用Tornado框架有效地开发RESTful API应用。此外,还可以进一步探索诸如身份验证、权限控制等功能,以增强API的安全性和功能性。
Python的Tornado框架异步编程入门实例
12-24
Python的Tornado框架是一款强大的非阻塞式Web服务器和Web框架,它以其高效、可扩展的特性被广泛应用于异步网络编程。Tornado的设计理念是让开发者能够编写高性能的网络应用,无需依赖其他Web服务器,直接提供高效的...
Tornado框架03-options和日志
清酒三两三
10-16 2188
01-options在前面的示例中我们都是将服务端口的参数写死在程序中,很不灵活。 tornado为我们提供了一个便捷的工具,tornado.options模块——全局参数定义、存储、转换。02-tornado.options.define()用来定义options选项变量的方法,定义的变量可以在全局的tornado.options.options中获取使用,传入参数: name 选项变量名,须保
Tornado框架04-配置文件和路由
清酒三两三
10-16 1396
01-Applicationsettings在创建tornado.web.Application的对象时,传入了第一个参数——路由映射列表。实际上Application类的构造函数还接收很多关于tornado web应用的配置参数。debug设置debug,设置tornado是否工作在调试模式,默认为False即工作在生产模式。 当设置debug=True 后,tornado会工作在调试/开发模
Tornado框架01-高性能简介
清酒三两三
10-16 945
01-简介Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架,由FriendFeed公司在自己的网站FriendFeed中使用,被Facebook收购以后框架在2009年9月以开源软件形式开放给大众。特点: 作为Web框架,是一个轻量级的Web框架,其拥有异步非阻塞IO的处理方式。 作为Web服务器,Tornado有较为出色的抗负载能力
Tornado框架07-数据库
清酒三两三
10-21 940
与Django框架相比,Tornado没有自带ORM,对于数据库需要自己去适配。我们使用MySQL数据库。在Tornado3.0版本以前提供tornado.database模块用来操作MySQL数据库,而从3.0版本开始,此模块就被独立出来,作为torndb包单独提供。torndb只是对MySQLdb的简单封装,不支持Python 3。torndb安装pip install torndb连接初始化我
Tornado框架05-输入和输出,接口调用顺序
清酒三两三
10-16 878
01-利用HTTP协议向服务器传参几种途径 查询字符串(query string),形如key1=value1&key2=value2; 请求体(body)中发送的数据,比如表单数据、json、xml; 提取uri的特定部分,如/blogs/2016/09/0001,可以在服务器端的路由中用正则表达式截取; 在http报文的头(header)中增加自定义字段,如X-XSRFToken=xiaoke
Tornado框架11-部署
清酒三两三
10-20 626
为了充分利用多核CPU,并且为了减少同步代码中的阻塞影响,在部署Tornado的时候需要开启多个进程(最好为每个CPU核心开启一个进程)因为Tornado自带的服务器性能很高,所以我们只需开启多个Tornado进程。为了对外有统一的接口,并且可以分发用户的请求到不同的Tornado进程上,我们用Nginx来进行代理。 01-supervisor为了统一管理Tornado的多个进程,我们可以借助su
Tornado框架02-创建服务器与多进程
清酒三两三
10-16 447
01-httpserver修改上篇文章简单tornado案例的代码如下:import tornado.web import tornado.ioloop import tornado.httpserver # 新引入httpserver模块class IndexHandler(tornado.web.RequestHandler): """主路由处理类""" def get(self
Tornado框架09-异步02
清酒三两三
10-21 413
因为epoll主要是用来解决网络IO的并发问题,所以Tornado的异步编程也主要体现在网络IO的异步上,即异步Web请求。01-tornado.httpclient.AsyncHTTPClientTornado提供了一个异步Web请求客户端tornado.httpclient.AsyncHTTPClient用来进行异步Web请求。 fetch(request, callback=None)
Tornado框架10-WebSocket
清酒三两三
10-19 394
01-实时获取数据 前端轮询:有无数据立即回复 长轮询:没有数据改变,不做任何响应,当有数据改变时,服务器响应 WebSocket 02-概述WebSocket是HTML5规范中新提出的客户端-服务器通讯协议,协议本身使用新的ws://URL格式。WebSocket 是独立的、创建在 TCP 上的协议,和 HTTP 的唯一关联是使用 HTTP 协议的101状态码进行协议切换,使用的 TCP 端口是8
Tornado框架06-模板
清酒三两三
10-18 387
01-静态文件static_path引用文件配置静态文件的路径,告诉tornado从文件系统中的一个特定的位置提取静态文件 使用:"static_path": os.path.join(BASE_DIRS, "static")作用: 引入其他文件<!--<link rel="stylesheet" href="/static/css/home.css" />--> <link rel="styl
Tornado框架09-异步01
清酒三两三
10-21 283
01-同步我们用两个函数来模拟两个客户端请求,并依次进行处理:# coding:utf-8def req_a(): """模拟请求a""" print '开始处理请求req_a' print '完成处理请求req_a'def req_b(): """模拟请求b""" print '开始处理请求req_b' print '完成处理请求req_b'def
1688商品详情API返回值中的供应商信息
api77的博客
08-14 752
在使用1688(阿里巴巴中国站)的商品详情API时,API的返回值中通常会包含丰富的产品信息,包括供应商(卖家)的信息。不过,具体的返回值内容可能会根据API的版本、调用参数以及API的更新情况有所不同。要获取这些供应商信息,你需要按照1688 API的规范发送请求,并在处理返回结果时,根据API的文档解析相应的JSON或XML数据以提取所需的信息。:可能包含供应商的联系电话、邮箱、QQ号、微信号等,但出于隐私保护,这些信息可能不全部显示或需要通过特定方式(如登录后查看)才能获得。
自动化纹理魔法:Maya脚本在纹理贴图中的应用
最新发布
08-19
Maya脚本主要有两种形式:MEL(Maya Embedded Language)和Python。MEL是Maya的内置脚本语言,用于自动化任务、扩展Maya的功能以及自定义用户界面。MEL脚本可以快速创建对象、精确控制对象属性,以及执行复杂的场景管理任务。MEL的语法结构与C语言接近,支持强制语法和函数语法,是一种强类型语言,但通常允许隐式声明和类型转换。 Python脚本在Maya中的应用也非常广泛,特别是在Maya 2020及以后的版本中。Python提供了一种更为现代和灵活的方式来编写脚本,可以利用Python的强大库进行复杂的数据处理和自动化任务。Python脚本可以通过`maya.cmds`模块访问Maya的命令,实现与MEL相似的功能。 在Maya中,脚本可以通过“脚本编辑器”(Script Editor)进行编写和执行,也可以保存为`.mel`或`.py`文件以便重复使用。脚本编辑器提供了MEL和Python两种语言选项,允许用户在不同语言环境下编写和测试脚本。此外,Maya还支持将Python函数注册为MEL程序,以便在需要MEL脚本的地方使用Python代码。
Tornado框架详解:3.2.2版本特性与应用
Tornado是一个开源的Python Web框架和异步网络库,最初由Facebook开发并维护。在3.2.2版本的文档中,它提供了关于如何使用Tornado进行Web开发的详细信息。 1. **概述** Tornado的核心特性包括请求处理器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值