Tornado框架-CSRF防止跨站post请求伪造

CSRF是什么

CSRF是用来在post请求时做请求验证的,防止跨站post请求伪造

当用户访问一个表单页面时,会自动在表单添加一个隐藏的input标签,name="_xsrf",value="等于一个密串"

当用户post请求提交数据时,会将_xsrf的密串提交到后台,后台会判断这个密串存在就允许提交数据,否则不允许提交

进行CSRF验证只需要两步

1、在框架配置字典里开启CSRF验证,开启后会自动接收post传来的_xsrf密串判断是否合法

"xsrf_cookies":True 开启CSRF验证,开启后会自动接收post传来的_xsrf密串判断是否合法

2、在HTML页面,用模板语言接收添加CSRF密串

{% raw xsrf_form_html()%}当用户访问一个表单页面时,会自动在表单添加一个隐藏的input标签,name="_xsrf",value="等于一个密串"

框架引擎

#!/usr/bin/env python

#coding:utf-8

import tornado.ioloop

import tornado.web                                              #导入tornado模块下的web文件

import session_lei                                              #导入session模块

class dluHandler(tornado.web.RequestHandler):

    def get(self):

        self.render("dlu.html")

    def post(self):

        pass

settings = {                                            #html文件归类配置,设置一个字典

    "template_path":"views",                            #键为template_path固定的,值为要存放HTML的文件夹名称

    "static_path":"statics",                            #键为static_path固定的,值为要存放js和css的文件夹名称

    "xsrf_cookies":True

}

#路由映射

application = tornado.web.Application([                 #创建一个变量等于tornado.web下的Application方法

    (r"/dlu", dluHandler),

],**settings)                                           #将html文件归类配置字典,写在路由映射的第二个参数里

if __name__ == "__main__":

    #内部socket运行起来

    application.listen(8888)                            #设置端口

    tornado.ioloop.IOLoop.instance().start()

html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

<h1>请登录</h1>

    <form method="post" action="/dlu">

        {% raw xsrf_form_html()%}

        用户名<input type="text" name="yhm"/><br/><br/>

        密码<input type="text" name="mim"/><br/><br/>

        验证码<input type="text" name="yanzhma"/><br/><br/>

        <input type="submit" value="提交"/>

    </form>

</body>

</html>

ajax的post请求CSRF验证

当html页面{% raw xsrf_form_html()%}生成密串时,会自动将密串写入浏览器的一个cookie

用jquery.cookie插件获取CSRF验证的cookie

在用jquery的ajax请求将cookie传输到路由映射,就会自动通过验证

框架引擎

#!/usr/bin/env python

#coding:utf-8

import tornado.ioloop

import tornado.web                                              #导入tornado模块下的web文件

import session_lei                                              #导入session模块

class dluHandler(tornado.web.RequestHandler):

    def get(self):

        self.render("dlu.html")

    def post(self):

        self.write("Hello, world")

settings = {                                            #html文件归类配置,设置一个字典

    "template_path":"views",                            #键为template_path固定的,值为要存放HTML的文件夹名称

    "static_path":"statics",                            #键为static_path固定的,值为要存放js和css的文件夹名称

    "xsrf_cookies":True

}

#路由映射

application = tornado.web.Application([                 #创建一个变量等于tornado.web下的Application方法

    (r"/dlu", dluHandler),

],**settings)                                           #将html文件归类配置字典,写在路由映射的第二个参数里

if __name__ == "__main__":

    #内部socket运行起来

    application.listen(8888)                            #设置端口

    tornado.ioloop.IOLoop.instance().start()

html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <script type="text/javascript" src='{{static_url("jquery.min.js")}}' charset="UTF-8"></script>

    <script type="text/javascript" src='{{static_url("jquery.cookie.js")}}' charset="UTF-8"></script>

</head>

<body>

<h1>请登录</h1>

    <form method="post" action="/dlu">

        {% raw xsrf_form_html()%}

        用户名<input type="text" name="yhm"/><br/><br/>

        密码<input type="text" name="mim"/><br/><br/>

        验证码<input type="text" name="yanzhma"/><br/><br/>

        <input type="button" value="提交" onclick="csrf();"/>

    </form>

    <script type="text/javascript">

        function csrf() {

            var hacsrf = $.cookie('_xsrf');       //jquery.cookie插件获取CSRF验证的cookie

            $.ajax({                              //jquery的ajax请求

                type: 'POST',

                url: '/dlu',

                data: {'_xsrf':hacsrf},           //将CSRF验证的cookie值提交到路由映射,就会自动通过验证

                success: function (response, status, xhr) {

                    //请求完成后自动执行

                }

            });

        }

    </script>

</body>

</html>

第二百七十一节,Tornado框架-CSRF防止跨站post请求伪造的更多相关文章

  1. 第二百七十二节,Tornado框架-iframe标签框架伪造ajax

    Tornado框架-iframe标签框架伪造ajax html <!DOCTYPE html> <html> <head lang="en"> ...

  2. 第三百七十一节,Python分布式爬虫打造搜索引擎Scrapy精讲—elasticsearch(搜索引擎)用Django实现我的搜索以及热门搜索

    第三百七十一节,Python分布式爬虫打造搜索引擎Scrapy精讲—elasticsearch(搜索引擎)用Django实现我的搜索以及热门 我的搜素简单实现原理我们可以用js来实现,首先用js获取到 ...

  3. web攻击之二:CSRF跨站域请求伪造

    CSRF是什么? (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click ...

  4. 防御CSRF的方法有哪些(一) HTTP 头中自定义属性并验证 CSRF跨站域请求伪造攻击

    CSRF (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下 ...

  5. CSRF(Cross Site Request Forgery, 跨站域请求伪造)

    CSRF(Cross Site Request Forgery, 跨站域请求伪造) CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的 ...

  6. 转: CSRF(Cross Site Request Forgery 跨站域请求伪造) 背景与介绍

    from:  https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/   在 IBM Bluemix 云平台上开发并部署您的下一个应用 ...

  7. 第二百七十节,Tornado框架-生成验证码图片,以及验证码结合Session验证

    Tornado框架-生成验证码图片,以及验证码结合Session验证 第一.生成验证码图片  生成验证码图片需要两个必须模块 1.python自带的random(随机模块) 2.Pillow()图像处 ...

  8. 第二百六十一节,Tornado框架模板引擎本质

    Tornado框架模板引擎本质 只需要了解一下即可 本篇就来详细的剖析模板处理的整个过程. 上图是返回给用户一个html文件的整个流程,较之前的Demo多了绿色流线的步骤,其实就是把[self.wri ...

  9. 第二百六十二节,Tornado框架-cookie

    Tornado框架-cookie Cookie 是网站用来在客户端保存识别用户的一种小文件.一般来用库可以保存用户登 录信息.购物数据信息等一系列微小信息. self.set_cookie()方法,创 ...

随机推荐

  1. C 语言-HelloWorld

    C 语言-HelloWorld C 语言是一种通用的.面向过程式的计算机程序设计语言.1972 年,为了移植与开发 UNIX 操作系统,丹尼斯·里奇在贝尔电话实验室设计开发了 C 语言. C 语言是一 ...

  2. AsyncTask doinbackground onProgressUpdate onCancelled onPostExecute的基本使用

    对于异步操作的原理我就不讲了.在这我着重讲怎么使用异步操作的doinbackground onProgressUpdate onCancelled onPostExecute这四个方法 doinbac ...

  3. Python list添加新元素

    append()和insert() 添加新元素现在,班里有3名同学:>>> L = ['Adam', 'Lisa', 'Bart']今天,班里转来一名新同学 Paul,如何把新同学添 ...

  4. MVC中cshtml文件中怎样使用ViewBag进行筛选?

    @foreach (PermissionForRoleModel item in ((List<PermissionForRoleModel>)ViewBag.PermissionsFor ...

  5. LeetCode 110 Balanced Binary Tree(平衡二叉树)(*)

    翻译 给定一个二叉树,决定它是否是高度平衡的. (高度是名词不是形容词-- 对于这个问题.一个高度平衡二叉树被定义为: 这棵树的每一个节点的两个子树的深度差不能超过1. 原文 Given a bina ...

  6. 谋哥:我跟CEO们都说了啥

    昨天,我和谋天团会员杨过(cdywq7070)--杨总,聊他公司的App,针对女性社交的"闪聊". 杨总增加谋天团,主要是想让我帮他策划推广,我说你让我策划一次.还不如增加谋天团. ...

  7. Linux命令-文件处理命令:head

    从头开始往下查看文件,区别于从末尾往上查看文件命令tail head -n /etc/services 查看etc目录下面的services文件的前10行内容 head /etc/services 查 ...

  8. Spring boot 配置 swagger

    1.maven配置包 <!-- https://mvnrepository.com/artifact/io.springfox/springfox-swagger2 --> <dep ...

  9. 我的Android进阶之旅------&gt;Android系统设置默认来电铃声、闹钟铃声、通知铃声

    首先了解Android系统本身提供的默认铃声文件,这些文件都放在  /system/media/audio  文件夹下. /system/media/audio/ringtones   系统来电铃声 ...

  10. ajax application/json 的坑

    我们习惯使用application/json方式提交,所以会在ajax中指定contentType. $.ajax({ url: "http://localhost:3000", ...