web框架--XSS攻击和CSRF请求伪造

XSS

跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的特殊目的。

tornado中已经为我们给屏蔽了XSS，但是当我们后端向前端写前端代码的时候传入浏览器是字符串，而不是形成代码格式。所以就需要一个反解，在传入模板语言中前面加一个raw，例如{% raw name %}

class IndexHandler(tornado.web.RequestHandler):
    def get(self, *args, **kwargs):
        jump = '''<input type="text"><a onclick = "Jump('%s',this);">GO</a>'''%('/index/')
        script = '''
            <script>
                function Jump(baseUrl,ths){
                    var val = ths.previousElementSibling.value;
                    if (val.trim().length > 0){
                        location.href = baseUrl + val;
                    }
                }
            </script>
        '''
        self.render('index.html',jump=jump,script=script)  #传入两个前端代码的字符串

start.py

 <!DOCTYPE html>
 <html lang="en">
 <head>
     <meta charset="UTF-8">
     <title>Title</title>
     <style>
         .pager a{
             display: inline-block;
             padding: 5px;
             margin: 3px;
             background-color: #00a2ca;
         }
         .pager a.active{
             background-color: #0f0f0f;
             color: white;
         }
     </style>
 </head>
 <body>
     <div class="pager">
         {% raw jump %}
         {% raw script%}
     </div>
 </body>
 </html>    

index.html

CSRF

CSRF（Cross-site  request forgery跨站请求伪造，也被称为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。
当前防范 XSRF 的一种通用的方法，是对每一个用户都记录一个无法预知的 cookie 数据，然后要求所有提交的请求中都必须带有这个 cookie 数据。如果此数据不匹配 ，那么这个请求就可能是被伪造的。

Tornado 有内建的 XSRF 的防范机制，要使用此机制，你需要在应用配置中加上 xsrf_cookies 设定：xsrf_cookies=True

简单来说就是在form验证里面生成了一段类似于自己的身份证号一样，携带着他来访问网页

 #!/usr/bin/env python
 # -*- coding:utf-8 -*-

 import tornado.web
 import tornado.ioloop

 class CsrfHandler(tornado.web.RequestHandler):

     def get(self, *args, **kwargs):
         self.render('csrf.html')

     def post(self, *args, **kwargs):
         self.write('已经收到客户端发的请求伪造')

 settings = {
     'template_path':'views',
     'static_path':'statics',
     'xsrf_cokkies':True,        # 重点在这里，往这里看
 }

 application = tornado.web.Application([
     (r'/csrf',CsrfHandler)
 ],**settings)

 if __name__ == "__main__":
     application.listen(8888)
     tornado.ioloop.IOLoop.instance().start()

start.py

 <!DOCTYPE html>
 <html lang="en">
 <head>
     <meta charset="UTF-8">
     <title>Title</title>
 </head>
 <body>
     <form action="/csrf" method="post">
         {% raw xsrf_form_html() %}
         <p><input name="user" type="text" placeholder="用户"/></p>
         <p><input name='pwd' type="text" placeholder="密码"/></p>
         <input type="submit" value="Submit" />
         <input type="button" value="Ajax CSRF" onclick="SubmitCsrf();" />
     </form>

     <script src="/statics/jquery-1.12.4.js"></script>
     <script type="text/javascript">

         function ChangeCode() {
             var code = document.getElementById('imgCode');
             code.src += '?';
         }
         function getCookie(name) {
             var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
             return r ? r[1] : undefined;
         }

         function SubmitCsrf() {
             var nid = getCookie('_xsrf');
             $.post({
                 url: '/csrf',
                 data: {'k1': 'v1',"_xsrf": nid},
                 success: function (callback) {
                     // Ajax请求发送成功有，自动执行
                     // callback，服务器write的数据 callback=“csrf.post”
                     console.log(callback);
                 }
             });
         }
     </script>
 </body>
 </html>

index.html