Tornado Web 防止xsrf攻击

最新推荐文章于 2024-07-28 20:27:10 发布
最新推荐文章于 2024-07-28 20:27:10 发布
阅读量99 收藏
点赞数
文章标签: javascript json ViewUI
原文链接:http://www.cnblogs.com/xuexue-bit/p/5110496.html
版权

一、xsrf概念

  xsrf 中文名称为跨站请求伪造,也被称为csrf(Cross-site request forgery)。由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。

  hyddd(陈曦明)的文章很详细地描述了这种攻击的发起方式:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 

二、Tornado Web防止xsrf攻击的方式

  Tornado Web服务器从设计之初就在安全方面有了很多考虑,使其能够更容易地防范那些常见的漏洞。

  开启防止xsrf攻击方式的方法很简单,首先在应用的构造函数中包含xsrf_cookies参数来开启XSRF保护:

settings = {
    "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
    "xsrf_cookies": True
}
application = tornado.web.Application([
    (r'/', MainHandler),
    (r'/purchase', PurchaseHandler),
], **settings)

  当xsrf_cookies的值为true时,Tornado将拒绝请求参数中不包含正确的_xsrf值的POSTPUTDELETE请求,即你必须在每次的post、put、delete请求中添加_xsrf参数。form表单和ajax请求的实现分别如下:

<form action="/purchase" method="POST">
    {% raw xsrf_form_html() %}
    <input type="text" name="title" />
    <input type="text" name="quantity" />
    <input type="submit" value="Check Out" />
</form>
function getCookie(name) {
    var c = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return c ? c[1] : undefined;
}

jQuery.postJSON = function(url, data, callback) {
    data._xsrf = getCookie("_xsrf");
    jQuery.ajax({
        url: url,
        data: jQuery.param(data),
        dataType: "json",
        type: "POST",
        success: callback
    });
}

在使用xsrf_form_html时XSRF的cookie自动被设置,但是如果你的应用程序全部使用ajax的请求方式,则还需添加 self.xsrf_token ,否则cookie("_xsrf")的值会为undefined。

可重写一个BaseHandler实现。

class BaseHandler(tornado.web.RequestHandler):
    def __init__(self,  *argc, **argkw):
        self.xsrf_token

 

  

转载于:https://www.cnblogs.com/xuexue-bit/p/5110496.html

weixin_30610755
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
三、Tornado的Cookie与安全
Bryce_Liu的博客
07-21 585
文章目录Cookie设置cookie通过set_header设置cookie获取cookie清除cookie安全Cookie设置与获取安全cookie Cookie 设置cookie RequestHandler提供了操作cookie的方法 set_cookie(name, value, domain=None, expires=None, path='/', expires_days=None...
tornado利用check_xsrf_cookie()防止XSRF
蒋狗的博客
04-06 3378
tornado利用check_xsrf_cookie()防止XSRF
Tornado 使用经验
01-08 1442
最近在做一个网站的后端开发。因为初期只有我一个人做,所以技术选择上很自由。在 web 服务器上我选择了Tornado。虽然曾经也读过它的源码,并做过一些小的 demo,但毕竟这是第一次在工作中使用,难免又发现了一些值得分享的东西。 首先想说的是它的安全性,这方面确实能让我感受到它的良苦用心。这主要可以分为两点: 防范跨站伪造请求(Cross-site request forge
Tornado基础入门(三) 用户身份验证框架、防止跨域攻击
Dream_it_possible!的博客
10-16 764
文章目录一、安全cookie机制 一、安全cookie机制
python3+tornado web简单使用说明
04-19
python3+tornado web简单使用说明
Tornado Web Server框架编写简易Python服务器
09-20
在本文中,我们将深入探讨如何使用Tornado Web Server框架创建一个简单的Python服务器。Tornado是一个高性能、异步网络库,特别适合构建Web服务和实时Web应用。它支持HTTP服务器、WebSocket、HTTP客户端等功能,同时...
Python Web框架Tornado运行和部署
09-21
Python Web框架Tornado是一款轻量级且高性能的异步网络库,常用于构建Web应用。其运行和部署方式与传统的基于WSGI的Python框架有所不同,因为它自带HTTP服务器。以下是对Tornado运行和部署的详细说明: 1. **运行和...
Tornado Web服务器中处理空白字符的解决方案
09-30
主要介绍了Tornado Web服务器中处理空白字符的解决方案,本文通过修改Tornado源码解决这个问题,需要的朋友可以参考下
【React 】开发环境搭建详细指南
lph159的博客
07-24 1165
无论你是刚刚开始学习 React,还是希望在现有项目中采用 React 技术,搭建一个高效的开发环境都是至关重要的。本文将详细介绍如何从零开始搭建 React 开发环境,涵盖所需的工具和最佳实践,帮助你快速启动并顺利进行开发。Visual Studio Code(VS Code)是目前最流行的代码编辑器之一,提供了丰富的扩展和强大的功能。如果你希望对项目的配置有更多的控制,可以选择手动配置 React 项目。下载并安装最新版本的 Node.js,安装 Node.js 后,npm 会自动安装。
在Vue程序中,如何检测用户的登录状态并跳转到对应页面
exlink2012的专栏
07-25 339
通过以上步骤,你可以在Vue应用程序中检测用户的登录状态,并在用户尝试访问受保护页面时跳转到登录页面。同时,在用户登录和登出后,你可以根据需要跳转到相应的页面。
已解决:vue-office/excel 多个sheet点击切换,滚动条高度不重置,表格视图位置不正确
weixin_42289080的博客
07-26 208
解决 @vue-office/excel 多个sheet切换,内容以及滚动条展示不正确的问题
vue el-select的下拉树形结构 带检索功能
Jokerxiuka的博客
07-26 166
【代码】vue el-select的下拉树形结构。
新手vue学习问题汇总(自用)(长期更新)
最新发布
lapiii的博客
07-28 243
是 ES6 模块语法,用于导出模块的默认成员。在 Vue.js 中,通常用来导出一个组件对象,使其可以在其他文件中被导入并使用。
Vue3可媲美Element Plus Tree组件实战之移除节点
felix_alone2012的博客
07-25 610
《Element Plus Tree - 自定义节点内容》示例中介绍了移除节点的用法,个人觉得作为提供给用户API,应该遵循迪米特法则,把功能实现的细节封装在组件内部,而提供给用户最简单的操作方式,同时在此基础上支持用户的扩展。因此,在API使用的人性化方便,个人觉得element plus做的并不优秀。为此,我们自定义tree组件时对用户API可以设计的更人性化些。
Angular由一个bug说起之八:实践中遇到的一个数据颗粒度的问题
KenkoTech的博客
07-24 731
之所以使用这种比较直接的方式是因为项目中的数据类型已经确定,而且对数字的处理逻辑没有统一在一个文件中。这是大型项目经常遇到的问题,起到相同作用的代码因为一些小的差别而分别写在管理各自功能的文件里。文件存入数据库,这样我们就可以统一维护一个表,不管是前端来处理数据还是后端来处理都能遵守相同的规则。针对这篇文章提到的数字缩写的问题,可以有两种处理方案。来展示数据的功能,这些数据根据不同的类型和单位会为其加上前缀、后缀或者省略小数。
让开发者生活更轻松的 JavaScript 字符串方法
粉丝们务必加入微信粉丝群
07-27 120
前端岗位内推来了JavaScript 最初被引入作为一种简单的客户端脚本语言,但现在,它已经成为一种真正的 WORA(一次编写到处运行)语言,使开发者能够构建桌面、移动、电视、CLI 和嵌入式应用程序。JavaScript 的初学者友好语法、生产性语言特性和良好管理的 ECMAScript 规范,激励了所有人使用 JavaScript 进行通用编程。ECMAScript 标准通过提供许多语言特性来...
爬虫基本原理入门
RHeng的博客
07-25 1067
爬虫(Web Crawler),又称为网络爬虫或网页蜘蛛,是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。它们可以模拟浏览器行为,遍历网页并抓取网页中的信息,如文本、图片、链接等。接下来,我们会尝试使用Python等编程语言,结合相关库和工具,动手编写自己的爬虫程序,探索更多关于爬虫技术的奥秘。
Vue3学习总结
inside802的博客
07-28 157
9、计算属性:使用computed属性,可以给template传递一个经过计算后的值,当这个值放在缓存中,当这个值不发生改变时,则JS不会再次执行computed,这样就能提高运行速度。4、属性绑定:使用v-bind:命令来实现属性绑定,如果是绑定单个属性,命令为v-bind:attr=“attr”,也可以写为v-bind:attr,也可以简写为:。11、绑定CSS样式,是通过绑定style属性来实现的,语法为v-bind:style=“myStyle”.其中,myStyle是在vue中自定义的样式。
深入学习Tornado Web框架
"Introduction to Tornado" 是一本由Michael Dory, Adam Parrish, 和 Brendan Berg合著的书籍,专注于介绍Tornado Web框架,同时也深入探讨了异步Web编程中的Twisted框架。这本书作为Python三大Web框架(Django、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值