Python从入门到摔门(6):Python Web服务器Tornado使用小结

最新推荐文章于 2022-08-01 15:11:55 发布
VIP文章 最新推荐文章于 2022-08-01 15:11:55 发布
阅读量140 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42238022/article/details/84868206
版权
5130973-2c10dc0c3283b950.png
.png

最近在做一个网站的后端开发。因为初期只有我一个人做,所以技术选择上很自由。在 web 服务器上我选择了 Tornado。虽然曾经也读过它的源码,并做过一些小的 demo,但毕竟这是第一次在工作中使用,难免又发现了一些值得分享的东西

首先想说的是它的安全性,这方面确实能让我感受到它的良苦用心。这主要可以分为两点:

一、防范跨站伪造请求(Cross-site request forgery,简称 CSRF 或 XSRF)

CSRF 的意思简单来说就是,攻击者伪造真实用户来发送请求。

举例来说,假设某个银行网站有这样的 URL:
http://bank.example.com/withdraw?amount=1000000&for=Eve
当这个银行网站的用户访问该 URL 时,就会给 Eve 这名用户一百万元。用户当然不会轻易地点击这个 URL,但是攻击者可以在其他网站上嵌入一张伪造的图片,将图片地址设为该 URL:
<img src="http://bank.example.com/withdraw?amount=1000000&for=Eve">
那么当用户访问那个恶意网站时,浏览器就会对该 URL 发起一个 GET 请求,于是在用户毫不知情的情况下,一百万就被转走了。

要防范上述攻击很简单,不允许通过 GET 请求来执行更改操作(例如转账)即可。不过其他类型的请求照样也不安全,假如攻击者构造这样一个表单:

<form action="http://bank.example.com/withdraw" method="post">
    <p>转发抽奖送 iPad 啊!</p>
    <input type="hidden" name="amount" value="1000000">
    <input type="hidden" name="for" value="Eve">
    <input type="submit" value="转发">
</form>

不明真相的用户点了下“转发”按钮,结果钱就被转走了…

要杜绝这种情况,就需要在非 GET 请求时添加一个攻击者无法伪造的字段,处理请求时验证这个字段是否修改过。
Tornado 的处理方法很简单,在请求中增加了一个随机生成的 _xsrf 字段,并且 cookie 中也增加这个字段,在接收请求时,比较这 2 个字段的值。
由于非本站的网页是不能获取或修改 cookie 的,这就保证了 _xsrf 无法被第三方网站伪造(HTTP 嗅探例外)。
当然,用户自己是可以随意获取和修改 cookie 的,不过这已经不属于 CSRF 的范畴了:用户自己伪造自己所做的事情,当然由他自己来承担。

要使用该功能的话,需要在生成 tornado.web.Application 对象时,加上 xsrf_cookies=True 参数,这会给用户生成一个名为 _xsrf 的 cookie 字段。
此外还需要你在非 GET 请求的表单里加上 xsrf_form_ht

最低0.47元/天 解锁文章
程序员雍正
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python3+tornado web简单使用说明
04-19
python3+tornado web简单使用说明
Tornado简介
小宝儿的学习之路
04-12 3733
Tornado龙卷风是一个开源的网络服务器框架,它是基于社交聚合网站FriendFeed的实时信息服务开发而来的 Tornado使用Python编写的Web服务器Web应用框架 与主流Web服务器框架不同的是,Tornado是异步非阻塞式服务器,得益于非阻塞式和对epoll模型的运用 Tornado是实时Web服务的一个理想框架,它非常适合开发长轮询、WebSocket和需要与每个用户建立...
最新 Python 模拟登录知乎
wyx1275的博客
04-17 776
分析登录页面的请求 在浏览打开一个隐私模式的浏览窗口,主要是为了避免浏览器已经保存的cookies的干扰,然后再打开知乎登录页面并打开控制台,故意输错手机号或密码便于观察请求,然后登录 注意红色的名为sing_in的文件,这就是知乎登录的API接口,也是我们模拟登录的链接。我们需要模拟构建POST请求所需要的Headers和Form-Data这两个对象 构建 Headers 继续看Reques...
Tornado 使用经验
01-08 1431
最近在做一个网站的后端开发。因为初期只有我一个人做,所以技术选择上很自由。在 web 服务器上我选择了Tornado。虽然曾经也读过它的源码,并做过一些小的 demo,但毕竟这是第一次在工作使用,难免又发现了一些值得分享的东西。 首先想说的是它的安全性,这方面确实能让我感受到它的良苦用心。这主要可以分为两点: 防范跨站伪造请求(Cross-site request forge
Python3 --- TornadoTornado.web.Application的settings参数
__静禅__
07-23 8066
Tornado.web.Application的settings参数 传递给构造器的附加关键字参数保存在 settings 字典, 并经常在文档被称为”application settings”. Settings被用于 自定义Tornado的很多方面(虽然在一些情况下, 更丰富的定制可能 是通过在 RequestHandler 的子类复写方法). 一些应用程序 也喜欢使用 setting...
Python之路【第二十篇】Tornado框架
Jason的专栏
12-19 515
Tornado Tornado使用Python编写的一个强大的、可扩展的Web服务器。它在处理严峻的网络流量时表现得足够强健,但却在创建和编写时有着足够的轻量级,并能够被用在大量的应用和工具。 我们现在所知道的Tornado是基于Bret Taylor和其他人员为FriendFeed所开发的网络服务框架,当FriendFeed被Facebook收购后得以开源。不同于那些最多只能达到
Tornado Web Server框架编写简易Python服务器
01-20
我们都知道在Web开发,都需要服务器,比如Java Web开发的Tomcat,WebLogic,WebSphere,现在来看利用Tornado Web Server框架如何写一个简易的Python服务器。 一般来说只需要实现get和post方法就可以了。以上次使用...
Python Tornado实现WEB服务器Socket服务器共存并实现交互的方法
09-16
主要介绍了Python Tornado实现WEB服务器Socket服务器共存并实现交互的方法,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
enjoy:练习使用python,从爬虫scrapy到服务器tornado的开发过程
05-21
enjoy 练习使用python,从爬虫scrapy到服务器tornado的开发过程 具体内容见
Python爬虫】urllib库——尚硅谷
qq_48108092的博客
08-01 795
read()字节形式读取二进制扩展rede(5)返回前几个字节。urllib.request.rulopen()模拟浏览器向服务器发送请求。response的数据类型是HttpResponse。readlines()一行一行读取直至结束。getheaders()获取headers。geturl()获取url。response服务器返回的数据。readline()读取一行。getcode()获取状态吗。............
TornadoTornado入门教程
HNUJSY
04-12 7224
Tornado 特点: 非阻塞式和基于Linux的Epoll(UNIX为kqueue)的异步网络IO 异步非阻塞IO处理方式,单进程单线程异步IO的网络模型,可以编写异步非阻塞的程序 非常适合开发长轮询、WebSocket和需要与每个用户建立持久连接的应用 既是WebServer也是WebFramework 结构: Web 框架 (包括用来创建 Web 应用程序的 RequestHandler 类, 还有很多其它支持的类). HTTP 客户端和服务器的实现 (HTTPServer 和 AsyncHT
python 框架tornado_Python Web框架Tornado运行和部署
weixin_39552179的博客
12-03 217
运行和部署因为Tornado内置了自己的HTTPServer,运行和部署它与其他Python web框架不太一样。你需要写一个main()函数来启动服务,而不是配置一个WSGI容器来运行你的应用:def main():app = make_app()app.listen(8888)IOLoop.current().start()if __name__ == '__main__':main()配置你...
Python-webTornado学习总结篇一
小小良
05-15 446
1、同类框架 tornado, flask, bottle 2、基本九行代码实现 Tornado 服务器程序 from tornado.httpserver import HTTPServer from tornado.ioloop import IOLoop from tornado.web import Application, RequestHandler # 处理路径为"...
网络爬虫X-CSRF-Token和Status 403问题解决方案(Java或Python)
qy20115549的博客
08-03 6815
本文作者:合肥工业大学 电子商务研究所 钱洋 email:[email protected] 。 内容可能有不到之处,欢迎交流。 未经本人允许禁止转载。 文章目录问题情景1和解决方案问题情景2和解决方案 问题情景1和解决方案 **在很多POST请求,经常会加入一些字段来控制会话或者数据的表单提交。**例如,在京东的模拟登陆,并不是你在Java或者python程序,直接输入用户名密码就能登陆成...
python tornodo的简单应用1
weixin_33719619的博客
12-19 149
关于pythonweb框架主流的有比较全面的django主要就是开发时候不用知道sql语句就可以和数据库交互还有就是django有自带后台管理admin,当然开发过程用下xadmin界面较友好。flask是轻量级web框架,其特点框架很轻量 更新时依赖小 。tornodo其特点主要支持高并发,异步io构建tornodo服务import tornado....
tornado
用代码描述我眼中的世界!
04-23 1万+
引言回想Django的部署方式以Django为代表的python web应用部署时采用wsgi协议与服务器对接(被服务器托管),而这类服务器通常都是基于多线程的,也就是说每一个网络请求服务器都会有一个对应的线程来用web应用(如Django)进行处理。考虑两类应用场景用户量大,高并发如秒杀抢购、双十一某宝购物、春节抢火车票大量的HTTP持久连接使用同一个TCP连接来发送和接收多个HTTP请求/应答...
云真机-一键抓包的问题解决
saii的专栏
10-18 2333
最近我们的云真机平台需要对标岩鼠,新增抓包的功能,所以专门去看了下岩鼠的抓包页面, 发现是通过mitproxy来做iframe嵌套实现的。那我们也可以借用mitproxy来解决我们的问题了。 问题1 本以为事情会很顺利,所以我们先尝试做demo的时候,本地先启动了一个mitproxy的服务,由于我们是需要有web的页面的, 所以我们的启动命令是: # web-host跟上的是本机的ip地址 mitmweb --web-port 10000 --no-web-open-browser -p 20000 -.
[33]python Web 框架:Tornado
热门推荐
周小董
06-10 8万+
1.Tornado Tornadopython编写的web服务器web应用框架 1.1.Tornado的优势 轻量级web框架 异步非阻塞IO处理方式 出色的抗负载能力 优异的处理性能,不依赖多进程/多线程,一定程度上解决C10K问题 WSGI全栈替代产品,推荐同时使用web框架和HTTP服务器 1.2.Tornado VS Djang...
Tornado
kong
11-21 1887
文章目录Tornado初入Tornado参数handlers字符串服务HTTP状态码 Tornado Tornado使用 Python 编写的一个强大的、可扩展的Web服务器。它在处理严峻的网络流量时表现得足够强健,但却在创建和编写时有着足够的轻量级,并能够被用在大量的应用和工具Python Web 框架有三 Django、Flask、Tornado Tornado 是唯一一个...
python web服务器
最新发布
07-27
Python 有许多可以用于构建 web 服务器的框架,以下是一些常见的选择: 1. Django:Django 是一个功能强大的高级 Python web 框架,它提供了全套的工具和库来快速开发 web 应用程序。Django 遵循了 MTV(Model-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值