Tornado框架-CSRF防止跨站post请求伪造

CSRF是什么

CSRF是用来在post请求时做请求验证的,防止跨站post请求伪造

当用户访问一个表单页面时,会自动在表单添加一个隐藏的input标签,name="_xsrf",value="等于一个密串"

当用户post请求提交数据时,会将_xsrf的密串提交到后台,后台会判断这个密串存在就允许提交数据,否则不允许提交

进行CSRF验证只需要两步

1、在框架配置字典里开启CSRF验证,开启后会自动接收post传来的_xsrf密串判断是否合法

"xsrf_cookies":True 开启CSRF验证,开启后会自动接收post传来的_xsrf密串判断是否合法

2、在HTML页面,用模板语言接收添加CSRF密串

{% raw xsrf_form_html()%}当用户访问一个表单页面时,会自动在表单添加一个隐藏的input标签,name="_xsrf",value="等于一个密串"

框架引擎

#!/usr/bin/env python

#coding:utf-8

import tornado.ioloop

import tornado.web                                              #导入tornado模块下的web文件

import session_lei                                              #导入session模块

class dluHandler(tornado.web.RequestHandler):

    def get(self):

        self.render("dlu.html")

    def post(self):

        pass

settings = {                                            #html文件归类配置,设置一个字典

    "template_path":"views",                            #键为template_path固定的,值为要存放HTML的文件夹名称

    "static_path":"statics",                            #键为static_path固定的,值为要存放js和css的文件夹名称

    "xsrf_cookies":True

}

#路由映射

application = tornado.web.Application([                 #创建一个变量等于tornado.web下的Application方法

    (r"/dlu", dluHandler),

],**settings)                                           #将html文件归类配置字典,写在路由映射的第二个参数里

if __name__ == "__main__":

    #内部socket运行起来

    application.listen(8888)                            #设置端口

    tornado.ioloop.IOLoop.instance().start()

html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

<h1>请登录</h1>

    <form method="post" action="/dlu">

        {% raw xsrf_form_html()%}

        用户名<input type="text" name="yhm"/><br/><br/>

        密码<input type="text" name="mim"/><br/><br/>

        验证码<input type="text" name="yanzhma"/><br/><br/>

        <input type="submit" value="提交"/>

    </form>

</body>

</html>

ajax的post请求CSRF验证

当html页面{% raw xsrf_form_html()%}生成密串时,会自动将密串写入浏览器的一个cookie

用jquery.cookie插件获取CSRF验证的cookie

在用jquery的ajax请求将cookie传输到路由映射,就会自动通过验证

框架引擎

#!/usr/bin/env python

#coding:utf-8

import tornado.ioloop

import tornado.web                                              #导入tornado模块下的web文件

import session_lei                                              #导入session模块

class dluHandler(tornado.web.RequestHandler):

    def get(self):

        self.render("dlu.html")

    def post(self):

        self.write("Hello, world")

settings = {                                            #html文件归类配置,设置一个字典

    "template_path":"views",                            #键为template_path固定的,值为要存放HTML的文件夹名称

    "static_path":"statics",                            #键为static_path固定的,值为要存放js和css的文件夹名称

    "xsrf_cookies":True

}

#路由映射

application = tornado.web.Application([                 #创建一个变量等于tornado.web下的Application方法

    (r"/dlu", dluHandler),

],**settings)                                           #将html文件归类配置字典,写在路由映射的第二个参数里

if __name__ == "__main__":

    #内部socket运行起来

    application.listen(8888)                            #设置端口

    tornado.ioloop.IOLoop.instance().start()

html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <script type="text/javascript" src='{{static_url("jquery.min.js")}}' charset="UTF-8"></script>

    <script type="text/javascript" src='{{static_url("jquery.cookie.js")}}' charset="UTF-8"></script>

</head>

<body>

<h1>请登录</h1>

    <form method="post" action="/dlu">

        {% raw xsrf_form_html()%}

        用户名<input type="text" name="yhm"/><br/><br/>

        密码<input type="text" name="mim"/><br/><br/>

        验证码<input type="text" name="yanzhma"/><br/><br/>

        <input type="button" value="提交" onclick="csrf();"/>

    </form>

    <script type="text/javascript">

        function csrf() {

            var hacsrf = $.cookie('_xsrf');       //jquery.cookie插件获取CSRF验证的cookie

            $.ajax({                              //jquery的ajax请求

                type: 'POST',

                url: '/dlu',

                data: {'_xsrf':hacsrf},           //将CSRF验证的cookie值提交到路由映射,就会自动通过验证

                success: function (response, status, xhr) {

                    //请求完成后自动执行

                }

            });

        }

    </script>

</body>

</html>

第二百七十一节,Tornado框架-CSRF防止跨站post请求伪造的更多相关文章

  1. 第二百七十二节,Tornado框架-iframe标签框架伪造ajax

    Tornado框架-iframe标签框架伪造ajax html <!DOCTYPE html> <html> <head lang="en"> ...

  2. 第三百七十一节,Python分布式爬虫打造搜索引擎Scrapy精讲—elasticsearch(搜索引擎)用Django实现我的搜索以及热门搜索

    第三百七十一节,Python分布式爬虫打造搜索引擎Scrapy精讲—elasticsearch(搜索引擎)用Django实现我的搜索以及热门 我的搜素简单实现原理我们可以用js来实现,首先用js获取到 ...

  3. web攻击之二:CSRF跨站域请求伪造

    CSRF是什么? (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click ...

  4. 防御CSRF的方法有哪些(一) HTTP 头中自定义属性并验证 CSRF跨站域请求伪造攻击

    CSRF (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下 ...

  5. CSRF(Cross Site Request Forgery, 跨站域请求伪造)

    CSRF(Cross Site Request Forgery, 跨站域请求伪造) CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的 ...

  6. 转: CSRF(Cross Site Request Forgery 跨站域请求伪造) 背景与介绍

    from:  https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/   在 IBM Bluemix 云平台上开发并部署您的下一个应用 ...

  7. 第二百七十节,Tornado框架-生成验证码图片,以及验证码结合Session验证

    Tornado框架-生成验证码图片,以及验证码结合Session验证 第一.生成验证码图片  生成验证码图片需要两个必须模块 1.python自带的random(随机模块) 2.Pillow()图像处 ...

  8. 第二百六十一节,Tornado框架模板引擎本质

    Tornado框架模板引擎本质 只需要了解一下即可 本篇就来详细的剖析模板处理的整个过程. 上图是返回给用户一个html文件的整个流程,较之前的Demo多了绿色流线的步骤,其实就是把[self.wri ...

  9. 第二百六十二节,Tornado框架-cookie

    Tornado框架-cookie Cookie 是网站用来在客户端保存识别用户的一种小文件.一般来用库可以保存用户登 录信息.购物数据信息等一系列微小信息. self.set_cookie()方法,创 ...

随机推荐

  1. Unity3D开发之Mac OS 开发环境搭建 笔记

    http://www.cnblogs.com/zhaoqingqing/p/3383167.html 首先上几张图: 摸索了一上午,才搞定在模拟器中运行.至于在Iphone真机中运行,虽然有开发者证书 ...

  2. python -c 处理shell字符串

    $test="hello world" $python -c "print '$test'.split()[1]" world 或者 $test="h ...

  3. Java设计模式—工厂设计模式

    工厂设计模式(减少耦合.通过接口或者工厂类来实现) 耦合性:粘度强(依耐性) Person p = new Person();  //耦合性强              Man p = new Per ...

  4. OE context 传参数

    来自:http://shine-it.net/index.php/topic,16360.0.html 有个需求想many2one字段关联显示的value在各个模块显示不同的值. 如果直接该rel_n ...

  5. 〖C++〗string2int把字符串转换成int的函数

    #include <stdio.h> #include <stdlib.h> #include <string.h> int string2int(char *ar ...

  6. POJ 2112 Optimal Milking(最大流)

    题目链接:http://poj.org/problem?id=2112 Description FJ has moved his K (1 <= K <= 30) milking mach ...

  7. Android 自己定义View (四) 视频音量调控

    转载请标明出处:http://blog.csdn.net/lmj623565791/article/details/24529807 今天没事逛eoe,看见有人求助要做一个以下的效果,我看以下一哥们说 ...

  8. `libsass` bindings not found. Try reinstalling `node-sass`?

    本篇文章由:http://xinpure.com/libsass-bindings-not-found-try-reinstalling-node-sass/ 坑一记 `libsass` bindin ...

  9. .net mvc 站点自带简易SSL加密传输 Word报告自动生成(例如 导出数据库结构) 微信小程序:动画(Animation) SignalR 设计理念(一) ASP.NET -- WebForm -- ViewState ASP.NET -- 一般处理程序ashx 常用到的一些js方法,记录一下 CryptoJS与C#AES加解密互转

    .net mvc 站点自带简易SSL加密传输   因项目需要,传输数据需要加密,因此有了一些经验,现简易抽出来分享! 请求:前端cryptojs用rsa/aes 或 rsa/des加密,后端.net ...

  10. pip install 安装提示unknown 包

    pip install setuptools --upgrade should fix the issue