Tornado框架-CSRF防止跨站post请求伪造

CSRF是什么

CSRF是用来在post请求时做请求验证的,防止跨站post请求伪造

当用户访问一个表单页面时,会自动在表单添加一个隐藏的input标签,name="_xsrf",value="等于一个密串"

当用户post请求提交数据时,会将_xsrf的密串提交到后台,后台会判断这个密串存在就允许提交数据,否则不允许提交

进行CSRF验证只需要两步

1、在框架配置字典里开启CSRF验证,开启后会自动接收post传来的_xsrf密串判断是否合法

"xsrf_cookies":True 开启CSRF验证,开启后会自动接收post传来的_xsrf密串判断是否合法

2、在HTML页面,用模板语言接收添加CSRF密串

{% raw xsrf_form_html()%}当用户访问一个表单页面时,会自动在表单添加一个隐藏的input标签,name="_xsrf",value="等于一个密串"

框架引擎

#!/usr/bin/env python

#coding:utf-8

import tornado.ioloop

import tornado.web                                              #导入tornado模块下的web文件

import session_lei                                              #导入session模块

class dluHandler(tornado.web.RequestHandler):

    def get(self):

        self.render("dlu.html")

    def post(self):

        pass

settings = {                                            #html文件归类配置,设置一个字典

    "template_path":"views",                            #键为template_path固定的,值为要存放HTML的文件夹名称

    "static_path":"statics",                            #键为static_path固定的,值为要存放js和css的文件夹名称

    "xsrf_cookies":True

}

#路由映射

application = tornado.web.Application([                 #创建一个变量等于tornado.web下的Application方法

    (r"/dlu", dluHandler),

],**settings)                                           #将html文件归类配置字典,写在路由映射的第二个参数里

if __name__ == "__main__":

    #内部socket运行起来

    application.listen(8888)                            #设置端口

    tornado.ioloop.IOLoop.instance().start()

html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

<h1>请登录</h1>

    <form method="post" action="/dlu">

        {% raw xsrf_form_html()%}

        用户名<input type="text" name="yhm"/><br/><br/>

        密码<input type="text" name="mim"/><br/><br/>

        验证码<input type="text" name="yanzhma"/><br/><br/>

        <input type="submit" value="提交"/>

    </form>

</body>

</html>

ajax的post请求CSRF验证

当html页面{% raw xsrf_form_html()%}生成密串时,会自动将密串写入浏览器的一个cookie

用jquery.cookie插件获取CSRF验证的cookie

在用jquery的ajax请求将cookie传输到路由映射,就会自动通过验证

框架引擎

#!/usr/bin/env python

#coding:utf-8

import tornado.ioloop

import tornado.web                                              #导入tornado模块下的web文件

import session_lei                                              #导入session模块

class dluHandler(tornado.web.RequestHandler):

    def get(self):

        self.render("dlu.html")

    def post(self):

        self.write("Hello, world")

settings = {                                            #html文件归类配置,设置一个字典

    "template_path":"views",                            #键为template_path固定的,值为要存放HTML的文件夹名称

    "static_path":"statics",                            #键为static_path固定的,值为要存放js和css的文件夹名称

    "xsrf_cookies":True

}

#路由映射

application = tornado.web.Application([                 #创建一个变量等于tornado.web下的Application方法

    (r"/dlu", dluHandler),

],**settings)                                           #将html文件归类配置字典,写在路由映射的第二个参数里

if __name__ == "__main__":

    #内部socket运行起来

    application.listen(8888)                            #设置端口

    tornado.ioloop.IOLoop.instance().start()

html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <script type="text/javascript" src='{{static_url("jquery.min.js")}}' charset="UTF-8"></script>

    <script type="text/javascript" src='{{static_url("jquery.cookie.js")}}' charset="UTF-8"></script>

</head>

<body>

<h1>请登录</h1>

    <form method="post" action="/dlu">

        {% raw xsrf_form_html()%}

        用户名<input type="text" name="yhm"/><br/><br/>

        密码<input type="text" name="mim"/><br/><br/>

        验证码<input type="text" name="yanzhma"/><br/><br/>

        <input type="button" value="提交" onclick="csrf();"/>

    </form>

    <script type="text/javascript">

        function csrf() {

            var hacsrf = $.cookie('_xsrf');       //jquery.cookie插件获取CSRF验证的cookie

            $.ajax({                              //jquery的ajax请求

                type: 'POST',

                url: '/dlu',

                data: {'_xsrf':hacsrf},           //将CSRF验证的cookie值提交到路由映射,就会自动通过验证

                success: function (response, status, xhr) {

                    //请求完成后自动执行

                }

            });

        }

    </script>

</body>

</html>

第二百七十一节,Tornado框架-CSRF防止跨站post请求伪造的更多相关文章

  1. 第二百七十二节,Tornado框架-iframe标签框架伪造ajax

    Tornado框架-iframe标签框架伪造ajax html <!DOCTYPE html> <html> <head lang="en"> ...

  2. 第三百七十一节,Python分布式爬虫打造搜索引擎Scrapy精讲—elasticsearch(搜索引擎)用Django实现我的搜索以及热门搜索

    第三百七十一节,Python分布式爬虫打造搜索引擎Scrapy精讲—elasticsearch(搜索引擎)用Django实现我的搜索以及热门 我的搜素简单实现原理我们可以用js来实现,首先用js获取到 ...

  3. web攻击之二:CSRF跨站域请求伪造

    CSRF是什么? (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click ...

  4. 防御CSRF的方法有哪些(一) HTTP 头中自定义属性并验证 CSRF跨站域请求伪造攻击

    CSRF (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下 ...

  5. CSRF(Cross Site Request Forgery, 跨站域请求伪造)

    CSRF(Cross Site Request Forgery, 跨站域请求伪造) CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的 ...

  6. 转: CSRF(Cross Site Request Forgery 跨站域请求伪造) 背景与介绍

    from:  https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/   在 IBM Bluemix 云平台上开发并部署您的下一个应用 ...

  7. 第二百七十节,Tornado框架-生成验证码图片,以及验证码结合Session验证

    Tornado框架-生成验证码图片,以及验证码结合Session验证 第一.生成验证码图片  生成验证码图片需要两个必须模块 1.python自带的random(随机模块) 2.Pillow()图像处 ...

  8. 第二百六十一节,Tornado框架模板引擎本质

    Tornado框架模板引擎本质 只需要了解一下即可 本篇就来详细的剖析模板处理的整个过程. 上图是返回给用户一个html文件的整个流程,较之前的Demo多了绿色流线的步骤,其实就是把[self.wri ...

  9. 第二百六十二节,Tornado框架-cookie

    Tornado框架-cookie Cookie 是网站用来在客户端保存识别用户的一种小文件.一般来用库可以保存用户登 录信息.购物数据信息等一系列微小信息. self.set_cookie()方法,创 ...

随机推荐

  1. UISlider 设置增量

    UISlider 设置增量 UISlider *slier = [[UISlider alloc]initWithFrame:CGRectMake(wu500.right, , , )]; slier ...

  2. css3和html5的学习

    本文是此链接的源代码.http://www.imooc.com/learn/77 关于的html5的使用: transition----含义是:过渡的过程,能够对各种属性设置变化. 有5中过渡的形式: ...

  3. sql存储过程等-版本控制

    数据库开发人员总在想,每次修改了函数/存储过程,我们都得自己做备份,用以历史参考,当发现错误的时候,可以回滚 SET ANSI_NULLS ON GO SET QUOTED_IDENTIFIER ON ...

  4. MSSQL查找前一天,前一月,前一年的数据,对比当前时间记录查找超过一年,一月,一天的数据

    ,') ,GETDATE()) ,') ,GETDATE()) ,') ,GETDATE()) ,GETDATE())) ,GETDATE())) ,GETDATE()))

  5. wait & waitpid 以及子进程传给父进程的信号分析

    wait() 和 waitpid() wait() 系统调用挂起调用进程的执行直到有一个孩子终止.调用 wait(&status) 等价于: waitpid(-1, &status, ...

  6. ubuntu PATH 出错修复

    我的 ubuntu10.10设置交叉编译环境时,PATH 设置错误了,导致无法正常启动,错误情况如下: { PATH:找不到命令ubuntu2010@ubuntu:~$ ls命令 'ls' 可在 '/ ...

  7. 使用命令行设置树莓派的wifi网络

    假设你没有登录到经常使用的图形用户界面.这样的方法就适合用来设置树莓派的wifi.尤其是在你没有屏幕或者有线网络,仅使用串口控制线的时候.另外,这样的方法也不须要额外的软件,全部须要的东西都已经包括进 ...

  8. Informix 語法

    1.修改表名稱 RENAME TABLE old_table_name TO new_table_name; 2.分頁 select  SKIP 0 FIRST 1 * from tablename ...

  9. 如何查看Linux操作系统的位数

    如何查看Linux操作系统的位数 1.编程实现: 在程序中返回sizeof(int)的值,返回的结果是操作系统的字节数.若返回4则是32位操作系统,返回8即是64位. 2.2.getconf命令: g ...

  10. Sql 常用的语句实例与代码

    在学习SQL的时候,本来预计花三天的时候掌握MS SQL这些基础,现在争取提前一天看完.总结沉底下来,其实也没有多少东西: 1.程序初始化前,先连接数据库 MFC程序中添加记录的代码: [cpp] v ...