xsrf form html,tornado开启了xsrf_cookies,在ckeditor中上传文件如何传入xsrf_form_html()?...

最新推荐文章于 2024-02-05 15:55:06 发布
最新推荐文章于 2024-02-05 15:55:06 发布
阅读量149 收藏
点赞数
文章标签: xsrf form html

tornado在setting中设置了”xsrf_cookies” : True,则需要在表单中添加{% module xsrf_form_html() %}。

但ckeditor如何传xsrf_cookies这个值,每次上传图片都显示’_xsrf’ argument missing from POST。

如果把”xsrf_cookies”设置为False则上传成功。

下面是上传的代码

class ckuploadHandeler(BaseHandler):

@authenticated

def gen_rnd_filename(self):

filename_prefix = datetime.datetime.now().strftime('%Y%m%d%H%M%S')

return '%s%s' % (filename_prefix, str(random.randrange(1000, 10000)))

@authenticated

def post(self):

"""CKEditor file upload"""

error = ''

url = ''

callback = self.get_argument("CKEditorFuncNum")

if self.request.method == 'POST' and 'upload' in self.request.files:

fileobj = self.request.files['upload']

fname, fext = os.path.splitext(fileobj[0]['filename'])

rnd_name = '%s%s' % (self.gen_rnd_filename(), fext)

filepath = os.path.join(self.settings['static_path'], 'upload', rnd_name)

# 检查路径是否存在,不存在则创建

dirname = os.path.dirname(filepath)

if not os.path.exists(dirname):

try:

os.makedirs(dirname)

except:

error = 'ERROR_CREATE_DIR'

elif not os.access(dirname, os.W_OK):

error = 'ERROR_DIR_NOT_WRITEABLE'

if not error:

print(filepath)

with open(filepath,'wb') as up:      #有些文件需要已二进制的形式存储,实际中可以更改

up.write(fileobj[0]['body'])

urlpath = filename='%s/%s' % ('upload', rnd_name)

url = self.static_url(urlpath)

print(url)

else:

error = 'post error'

res = """

<script type="text/javascript">

window.parent.CKEDITOR.tools.callFunction(%s, '%s', '%s');

</script>

""" % (callback, url, error)

self.write(res)

Handler的URL

(r'/upload/', ckuploadHandeler),

显示错误`WARNING:tornado.general:403 POST /upload/?CKEditor=context&CKEditorFuncNum=1&langCode=zh (127.0.0.1): ‘_xsrf’ argument missing from POST

`

如何在上传图片的时候把xsrf_cookies也post过去?

html代码:

<div class="field-box">

<textarea name="context" class="span12 " type="text" rows="9" required></textarea>

<script>

CKEDITOR.replace('context');

</script>

你可以选择重写

check_xsrf_cookie()

方法,对上传这个请求不做检查

我刚才看了下tornado的源代码,你只要这么做就行

修改ckeditor.js的源代码,找到

<form enctype="multipart/form-data" method="POST" ...

这一行(搜索下就找到)然后编辑下那个生成form的代码,添加一个input进去,type=hidden, value就是从cookie中取_xsrf值)这样行了。

在html中,你还是需要写{% module xsrf_form_html() %} (在tornado的源代码中,执行xsrf_form_html() 会调用set_cookie(‘_xsrf’)),这样在cookie中就会有_xsrf值了,用上面说得方法带上去就行了。

js获取cookie代码(取自tornado文档):

function getCookie(name) {

var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");

return r ? r[1] : undefined;

}

PS: 本人也是tornado党哈,以上方法实践过了,可行。

3431402c1bcafac7e7cfb291f3f55629.png

weixin_39966020
关注
解决 Python 缺少 ‘_xsrf‘ 参数的问题
PixelLogic的博客
09-06 122
在进行基于 Web 的应用程序开发,特别是使用 Python 的框架如 Django 或 Tornado 时,我们通常会处理与安全性相关的问题。为了防止这种攻击,这些框架会在请求添加一个名为 ‘_xsrf’ 的参数,以验证请求的合法性。请注意,上述解决方案是基于 Tornado 框架的示例,你在使用其他框架时可能需要进行相应的调整。不同的框架可能有不同的方式来处理 CSRF 保护和 ‘_xsrf’ 参数的验证。当请求缺少 ‘_xsrf’ 参数时,代码将抛出一个异常,以提醒你进行必要的修正。
Jupyter报错:“_xsrf”参数在post请求丢失的解决方案 Python
TechSavant的博客
08-10 814
首先,让我们来了解一下什么是_xsrf参数。当该参数缺失时,将无法验证请求的合法性,因此服务器会拒绝该请求。在使用Jupyter Notebook时,可能会遇到“_xsrf”参数在post请求丢失的错误。这个错误通常表示在进行POST请求时缺少了重要的安全验证参数,因此服务器拒绝了请求。总之,通过在请求头添加_xsrf参数,我们可以解决Jupyter Notebook遇到的“_xsrf”参数在post请求丢失的错误。在执行此代码之前,请确保替换密码为自己的密码,并将笔记本路径替换为您的路径。
Torando源码解析之XSRF防护的实现
【落~风~月】
04-07 1080
Torando源码解析之XSRF防护的实现 Torando源码解析之XSRF防护的实现 Tornado开启XSRF防护的方法 源码解析 xsrf_form_html()是什么 self.xsrf_token是什么 Tornado开启XSRF防护的方法 http://tornado-zh.readthedocs.io/zh/latest/guide/security.ht...
tornado 整合jinja2 ,xsrf_form_html 的处理
weixin_30824479的博客
11-29 137
tornado 整合jinja2,在应用到form欲上传数据时,会需要作如下的处理: 看解决方案: <form action="/auth/login" method="post"> 用户名: <input type="text" name="username" placeholder="用户名"/> 密码: <in...
xsrf form html,Tornado-“\xsrf”参数从POST丢失
weixin_33826897的博客
06-15 177
如下面的代码所示,我有一个用于注册的GET,它将其工作委托给POST。class RegistrationHandler(tornado.web.RequestHandler):def get(self):s = """RegisterUserpassword"""self.write(s)@log_exception()def post(self):user_name = self.reques...
go.xsrf:包 xsrf 提供了生成和验证 XSRF 令牌的方法
06-13
在 Go 语言XSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的安全威胁,它允许攻击者在用户浏览器利用合法的登录状态执行恶意操作。为了解决这个问题,开发者通常会使用 XSRF 令牌,这是一种在...
springboot后端实现防御xSRF攻击的策略代码.zip
02-10
本包,含有2个实现springboot后端实现防御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java
session.proxies账密代理_requests 进阶用法学习(文件上传、cookies设置、代理设置)...
weixin_39781930的博客
12-19 1246
一、文件上传1、模拟网站提交文件提交此图片,图片名称:timg.jpgimportrequestsfiles={'file':open('timg.jpg','rb')}response=requests.post('http://httpbin.org/post',files=files)print(response.text){"args": {},"data": "","files": {"...
xsrf form html,tornado,python_tornado开启xsrf_cookies,在ckeditor上传文件如何传入xsrf_form_html()?,tornado,pyt...
weixin_42471590的博客
06-10 138
tornado开启xsrf_cookies,在ckeditor上传文件如何传入xsrf_form_html()?tornado在setting设置了"xsrf_cookies" : True,则需要在表单添加{% module xsrf_form_html() %}。但ckeditor如何传xsrf_cookies这个值,每次上传图片都显示'_xsrf' argument missing ...
Tornado——Cookie,XSRF,用户验证
weixin_30550271的博客
01-08 207
Cookie 普通cookie 设置 set_cookie(name, value, domain=None, expires=None, path='/', expires_days=None) 参数说明: name:cookie名 value:cookie值 domain:提交cookie时匹配的域名 path:提交cookie时匹配的路径 expires:cookie的...
xsrf form html,python - tornado开启xsrf_cookies,在ckeditor上传文件如何传入xsrf_form_html()?...
weixin_28713299的博客
06-10 152
tornado在setting设置了"xsrf_cookies" : True,则需要在表单添加{% module xsrf_form_html() %}。但ckeditor如何传xsrf_cookies这个值,每次上传图片都显示'_xsrf' argument missing from POST。如果把"xsrf_cookies"设置为False则上传成功。下面是上传的代码class cku...
Cookie与CSRF(XSRF)
zollty的专栏
08-25 3165
本文是《Session和Cookie原理》的续篇。 在上一篇,详细介绍了Cookie的原理。 下面介绍,如何Cookie的跨站共享,及CSRF(Cross-Site Request Forgery,跨网站请求伪造)攻击。 请先阅读《HTTP访问控制(CORS)》一文,以便对跨网站请求有一个初步了解。在这篇文章提到的一点十分关键: “Fetch 与 CORS 的一个有趣的特性是,可以基于 HTTP cookies 和 HTTP 认证信息发送身份凭证。一般而言,对于跨域 XMLHttpR..
XSRF
人饭子的博客
11-13 9846
XSRF 跨站请求伪造 先建立一个网站127.0.0.1:8000,使用上一节的Cookie计数器: class IndexHandler(RequestHandler): def get(self): cookie = self.get_secure_cookie("count") count = int(cookie) + 1 if cook
tornado利用check_xsrf_cookie()防止XSRF
蒋狗的博客
04-06 3453
tornado利用check_xsrf_cookie()防止XSRF
Python学习之路-Tornado基础:安全应用
最新发布
geobuins的博客
02-05 1897
用户验证是指在收到用户请求后进行处理前先判断用户的认证状态(如登陆状态),若通过验证则正常处理,否则强制用户跳转至认证页面(如登陆页面)。
tornadoxsrf的使用
nbxuwentao的博客
06-16 1088
reference: https://www.cnblogs.com/paulwhw/articles/12021903.html tornado使用xsrf 做做笔记
Python3tornado高并发框架(6)-应用安全
qq_27009517的博客
12-16 562
24.应用安全 cookie的种类 1. 普通cookie 设置:原型self.set_cookie(name,value,domain=None,expires=None,path="/",expires_days=None,**kwargs) 原理:设置header/Set_Cookie来实现; self.set_header("Set-Cookie","happy=happyeveryday;path=/") 获取:原型cookie=se...
_xsrf' argument missing from post
12-08
通常情况下,这个令牌会保存在cookies,而需要在请求体通过_xsrf参数进行传递。 要解决这个问题,首先需要查找网站提供的_xsrf令牌,一般可以在网页源代码、cookies或者请求头找到。然后,将找到的_xsrf令牌...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值