xsrf form html,tornado开启了xsrf_cookies,在ckeditor中上传文件如何传入xsrf_form_html()?...

于 2021-06-25 14:26:32 发布
阅读量127 收藏
点赞数
文章标签: xsrf form html

tornado在setting中设置了”xsrf_cookies” : True,则需要在表单中添加{% module xsrf_form_html() %}。

但ckeditor如何传xsrf_cookies这个值,每次上传图片都显示’_xsrf’ argument missing from POST。

如果把”xsrf_cookies”设置为False则上传成功。

下面是上传的代码

class ckuploadHandeler(BaseHandler):

@authenticated

def gen_rnd_filename(self):

filename_prefix = datetime.datetime.now().strftime('%Y%m%d%H%M%S')

return '%s%s' % (filename_prefix, str(random.randrange(1000, 10000)))

@authenticated

def post(self):

"""CKEditor file upload"""

error = ''

url = ''

callback = self.get_argument("CKEditorFuncNum")

if self.request.method == 'POST' and 'upload' in self.request.files:

fileobj = self.request.files['upload']

fname, fext = os.path.splitext(fileobj[0]['filename'])

rnd_name = '%s%s' % (self.gen_rnd_filename(), fext)

filepath = os.path.join(self.settings['static_path'], 'upload', rnd_name)

# 检查路径是否存在,不存在则创建

dirname = os.path.dirname(filepath)

if not os.path.exists(dirname):

try:

os.makedirs(dirname)

except:

error = 'ERROR_CREATE_DIR'

elif not os.access(dirname, os.W_OK):

error = 'ERROR_DIR_NOT_WRITEABLE'

if not error:

print(filepath)

with open(filepath,'wb') as up:      #有些文件需要已二进制的形式存储,实际中可以更改

up.write(fileobj[0]['body'])

urlpath = filename='%s/%s' % ('upload', rnd_name)

url = self.static_url(urlpath)

print(url)

else:

error = 'post error'

res = """

<script type="text/javascript">

window.parent.CKEDITOR.tools.callFunction(%s, '%s', '%s');

</script>

""" % (callback, url, error)

self.write(res)

Handler的URL

(r'/upload/', ckuploadHandeler),

显示错误`WARNING:tornado.general:403 POST /upload/?CKEditor=context&CKEditorFuncNum=1&langCode=zh (127.0.0.1): ‘_xsrf’ argument missing from POST

`

如何在上传图片的时候把xsrf_cookies也post过去?

html代码:

<div class="field-box">

<textarea name="context" class="span12 " type="text" rows="9" required></textarea>

<script>

CKEDITOR.replace('context');

</script>

你可以选择重写

check_xsrf_cookie()

方法,对上传这个请求不做检查

我刚才看了下tornado的源代码,你只要这么做就行

修改ckeditor.js的源代码,找到

<form enctype="multipart/form-data" method="POST" ...

这一行(搜索下就找到)然后编辑下那个生成form的代码,添加一个input进去,type=hidden, value就是从cookie中取_xsrf值)这样行了。

在html中,你还是需要写{% module xsrf_form_html() %} (在tornado的源代码中,执行xsrf_form_html() 会调用set_cookie(‘_xsrf’)),这样在cookie中就会有_xsrf值了,用上面说得方法带上去就行了。

js获取cookie代码(取自tornado文档):

function getCookie(name) {

var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");

return r ? r[1] : undefined;

}

PS: 本人也是tornado党哈,以上方法实践过了,可行。

3431402c1bcafac7e7cfb291f3f55629.png

weixin_39966020
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot后端实现防御xSRF攻击的策略代码.zip
02-10
本包,含有2个实现springboot后端实现防御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java
tornado_xsrf
june_fiend的专栏
05-16 705
开启此功能: 在生成 tornado.web.Application 对象时,加上 xsrf_cookies=True 参数 并在非 GET 请求的表单里加上 xsrf_form_html() 如: {% module xsrf_form_html() %}
Torando源码解析之XSRF防护的实现
【落~风~月】
04-07 1051
Torando源码解析之XSRF防护的实现 Torando源码解析之XSRF防护的实现 Tornado开启XSRF防护的方法 源码解析 xsrf_form_html()是什么 self.xsrf_token是什么 Tornado开启XSRF防护的方法 http://tornado-zh.readthedocs.io/zh/latest/guide/security.ht...
Cookie与CSRF(XSRF)
zollty的专栏
08-25 3017
本文是《Session和Cookie原理》的续篇。 在上一篇,详细介绍了Cookie的原理。 下面介绍,如何Cookie的跨站共享,及CSRF(Cross-Site Request Forgery,跨网站请求伪造)攻击。 请先阅读《HTTP访问控制(CORS)》一文,以便对跨网站请求有一个初步了解。在这篇文章提到的一点十分关键: “Fetch 与 CORS 的一个有趣的特性是,可以基于 HTTP cookies 和 HTTP 认证信息发送身份凭证。一般而言,对于跨域 XMLHttpR..
Tornado——Cookie,XSRF,用户验证
weixin_30550271的博客
01-08 182
Cookie 普通cookie 设置 set_cookie(name, value, domain=None, expires=None, path='/', expires_days=None) 参数说明: name:cookie名 value:cookie值 domain:提交cookie时匹配的域名 path:提交cookie时匹配的路径 expires:cookie的...
tornado 整合jinja2 ,xsrf_form_html 的处理
weixin_30824479的博客
11-29 119
tornado 整合jinja2,在应用到form欲上传数据时,会需要作如下的处理: 看解决方案: <form action="/auth/login" method="post"> 用户名: <input type="text" name="username" placeholder="用户名"/> 密码: <in...
go.xsrf:包 xsrf 提供了生成和验证 XSRF 令牌的方法
06-13
去.xsrf xsrf 令牌生成和验证库: ://godoc.org/github.com/daaku/go.xsrf
node.jsaxios使用心得总结
12-23
Axios是一个基于Promise的 HTTP 库,可以用在浏览器和node.js ,因为尤大大的推荐,axios也变得越来越流行。最近项目使用axios也遇到了一些问题,就借此机会总结一下,如有错误,还请不吝指正。 功能 浏览器端...
etch 异步请求库,用于浏览器和 node.js 的 HTTP 客户端.rar
06-05
从浏览器创建 XMLHttpRequests 从 node.js 创建 http 请求 支持 Promise API 拦截请求和响应 转换请求数据和响应数据 取消请求 自动转换 JSON 数据 客户端支持防御 XSRF -----------------------------------
DneustadtCsrfCookieBundle:Symfony捆绑包,可为客户端应用程序提供跨站点请求伪造(CSRF或XSRF)保护
02-04
该捆绑包为客户端应用程序提供(CSRF或XSRF)保护,该客户端应用程序通过XHR请求由Symfony提供的端点。 在很大程度上受到影响和启发 要求 Symfony> = 5.x 工作方式 为了存储CSRF令牌客户端,可以通过一个或多个预定...
XSRF
人饭子的博客
11-13 9659
XSRF 跨站请求伪造 先建立一个网站127.0.0.1:8000,使用上一节的Cookie计数器: class IndexHandler(RequestHandler): def get(self): cookie = self.get_secure_cookie("count") count = int(cookie) + 1 if cook
tornado利用check_xsrf_cookie()防止XSRF
蒋狗的博客
04-06 3338
tornado利用check_xsrf_cookie()防止XSRF
xsrf form html,Tornado-“\xsrf”参数从POST丢失
weixin_33826897的博客
06-15 141
如下面的代码所示,我有一个用于注册的GET,它将其工作委托给POST。class RegistrationHandler(tornado.web.RequestHandler):def get(self):s = """RegisterUserpassword"""self.write(s)@log_exception()def post(self):user_name = self.reques...
tornadoxsrf的使用
nbxuwentao的博客
06-16 1027
reference: https://www.cnblogs.com/paulwhw/articles/12021903.html tornado使用xsrf 做做笔记
Python3tornado高并发框架(6)-应用安全
qq_27009517的博客
12-16 520
24.应用安全 cookie的种类 1. 普通cookie 设置:原型self.set_cookie(name,value,domain=None,expires=None,path="/",expires_days=None,**kwargs) 原理:设置header/Set_Cookie来实现; self.set_header("Set-Cookie","happy=happyeveryday;path=/") 获取:原型cookie=se...
from表单的安全措施,csrf_token
weixin_43641304的博客
12-28 1600
表单验证,防止跨站攻击 {% csrf_token %}  {#  随机生成一个  value  的值,值为字符串,用于表单验证,防止跨站攻击(生成默认隐藏,不显示在页面上,只显示在结构里)   #} 生成效果 ...
表单csrf保护
欧阳小白闯天涯
07-16 4475
原文请移步:http://blog.maptoface.com/post/53
_xsrf' argument missing from post
最新发布
12-08
通常情况下,这个令牌会保存在cookies,而需要在请求体通过_xsrf参数进行传递。 要解决这个问题,首先需要查找网站提供的_xsrf令牌,一般可以在网页源代码、cookies或者请求头找到。然后,将找到的_xsrf令牌...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值