検索
ホームページバックエンド開発Python チュートリアルPython でクロスサイト攻撃を防ぐ Tornado の手法の紹介

Python でクロスサイト攻撃を防ぐ Tornado の手法の紹介

不言
不言
Oct 20, 2018 pm 03:28 PM
python

この記事では、Python でクロスサイト攻撃を防ぐ Tornado の手法を紹介します。一定の参考価値があります。困っている友人は参考にしてください。お役に立てれば幸いです。

クロスサイト リクエスト フォージェリ (CSRF または XSRF) は、Web サイトの悪意のある使用です。 CSRF を通じて、攻撃者はユーザーの ID を詐称し、ユーザーの知らないうちに悪意のある操作を実行する可能性があります。

1. CSRF 攻撃の原理

次の図は、CSRF の基本原理を示しています。 Site1 は CSRF 脆弱性のある Web サイト、SIte2 は攻撃のある悪意のある Web サイトです。

Python でクロスサイト攻撃を防ぐ Tornado の手法の紹介
上の画像の内容は次のように分析されます:

  • ユーザーは最初に CSRF 脆弱性のある Web サイトである Site1 にアクセスし、正常にログインしました。その後、ユーザーによる Site1 への訪問には Site1 の Cookie が含まれるため、Site1 による有効な操作とみなされます。

  • この時点で、ユーザーは攻撃的な行為が行われているサイトである Site2 を訪問しており、Site2 の戻りページには悪意のある操作のために Site1 にアクセスするためのリンクが含まれていましたが、それは正規のコンテンツに偽装されていました。たとえば、次のハイパーリンクは宝くじ情報のように見えますが、実際には Site1 サイトに出金リクエストを送信することを目的としています

<a>
三百万元抽奖,免费拿
</a>

  • ユーザーがクリックすると、悪意のあるリンク上で、知らないうちにリクエストが Site1 サイトに送信されました。ユーザーは以前に Site1 にログインしており、ログアウトしていないため、Site1 がユーザーのリクエストと付随する Cookie を受信すると、そのリクエストはユーザーによって送信された通常のリクエストであると見なされます。この時点で、悪意のあるサイトの目的は達成されています。

2. Tornado を使用して CSRF 攻撃を防ぐ

CSRF 攻撃を防ぐには、各リクエストにパラメーター値を含める必要があります。トークンの一致するストレージ Cookie 内の対応する値。

Tornado アプリケーションは、Cookie ヘッダーと非表示の HTML フォーム要素を通じてページにトークンを提供できます。このようにして、正規のページのフォームが送信されると、フォームの値と保存された Cookie が含まれます。 2 つが一致する場合、Tornado アプリケーションの承認リクエストは有効です。

Tornado の CSRF 防止機能を有効にするには、2 つの手順が必要です。

[1] tornado.web.Application をインスタンス化するときに xsrf_cookies=True パラメーターを渡します。つまり、

application=tornado.web.Application([
(r'/',MainHandler),
],
cookie_secret='DONT_LEAK_SECRET',
xsrf_cookies=True,
)

または: 

settings={
"cookie_secret":"DONT_LEAK_SECRET",
"xsrf_cookies":True
}

application=tornado.web.Application([
(r'/',MainHandler),
],**settings)

Tornado.web.Application が必要な場合初期化パラメータが多すぎる場合は、この例のように設定辞書の形式で名前付きパラメータを渡すことができます。

[2] HTML 式を含む各テンプレート ファイルで、すべてのフォームに xsrf_form_html() 関数タグを追加します。例: 




{% module xsrf_form_html() %}





ここの {% module xsrf_form_html() %} は、クロスサイト リクエストを防ぐためにフォームに非表示の要素を追加する役割を果たします。 


Tornado の安全な Cookie サポートと XSRF 防止フレームワークは、アプリケーション開発者の負担を大幅に軽減します。これらがなければ、開発者は多くの詳細な防止策を検討する必要があるため、Tornado の組み込みセキュリティ機能も非常に役立ちます。 
以上がPython でクロスサイト攻撃を防ぐ Tornado の手法の紹介の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
声明
この記事はsegmentfault思否で複製されています。侵害がある場合は、admin@php.cn までご連絡ください。
関連記事
Python:自動化、スクリプト、およびタスク管理Python:自動化、スクリプト、およびタスク管理Apr 16, 2025 am	 12:14 AM
Pythonは、自動化、スクリプト、およびタスク管理に優れています。 1)自動化:OSやShutilなどの標準ライブラリを介してファイルバックアップが実現されます。 2)スクリプトの書き込み:Psutilライブラリを使用してシステムリソースを監視します。 3)タスク管理:スケジュールライブラリを使用してタスクをスケジュールします。 Pythonの使いやすさと豊富なライブラリサポートにより、これらの分野で優先ツールになります。
Pythonと時間:勉強時間を最大限に活用するPythonと時間:勉強時間を最大限に活用するApr 14, 2025 am	 12:02 AM
限られた時間でPythonの学習効率を最大化するには、PythonのDateTime、時間、およびスケジュールモジュールを使用できます。 1. DateTimeモジュールは、学習時間を記録および計画するために使用されます。 2。時間モジュールは、勉強と休息の時間を設定するのに役立ちます。 3.スケジュールモジュールは、毎週の学習タスクを自動的に配置します。
Python:ゲーム、GUIなどPython:ゲーム、GUIなどApr 13, 2025 am	 12:14 AM
PythonはゲームとGUI開発に優れています。 1)ゲーム開発は、2Dゲームの作成に適した図面、オーディオ、その他の機能を提供し、Pygameを使用します。 2)GUI開発は、TKINTERまたはPYQTを選択できます。 TKINTERはシンプルで使いやすく、PYQTは豊富な機能を備えており、専門能力開発に適しています。
Python vs. C:比較されたアプリケーションとユースケースPython vs. C:比較されたアプリケーションとユースケースApr 12, 2025 am	 12:01 AM
Pythonは、データサイエンス、Web開発、自動化タスクに適していますが、Cはシステムプログラミング、ゲーム開発、組み込みシステムに適しています。 Pythonは、そのシンプルさと強力なエコシステムで知られていますが、Cは高性能および基礎となる制御機能で知られています。
2時間のPython計画:現実的なアプローチ2時間のPython計画:現実的なアプローチApr 11, 2025 am	 12:04 AM
2時間以内にPythonの基本的なプログラミングの概念とスキルを学ぶことができます。 1.変数とデータ型、2。マスターコントロールフロー(条件付きステートメントとループ)、3。機能の定義と使用を理解する4。
Python:主要なアプリケーションの調査Python:主要なアプリケーションの調査Apr 10, 2025 am	 09:41 AM
Pythonは、Web開発、データサイエンス、機械学習、自動化、スクリプトの分野で広く使用されています。 1)Web開発では、DjangoおよびFlask Frameworksが開発プロセスを簡素化します。 2)データサイエンスと機械学習の分野では、Numpy、Pandas、Scikit-Learn、Tensorflowライブラリが強力なサポートを提供します。 3)自動化とスクリプトの観点から、Pythonは自動テストやシステム管理などのタスクに適しています。
2時間でどのくらいのPythonを学ぶことができますか?2時間でどのくらいのPythonを学ぶことができますか?Apr 09, 2025 pm	 04:33 PM
2時間以内にPythonの基本を学ぶことができます。 1。変数とデータ型を学習します。2。ステートメントやループの場合などのマスター制御構造、3。関数の定義と使用を理解します。これらは、簡単なPythonプログラムの作成を開始するのに役立ちます。
プロジェクトの基本と問題駆動型の方法で10時間以内にコンピューター初心者プログラミングの基本を教える方法は?プロジェクトの基本と問題駆動型の方法で10時間以内にコンピューター初心者プログラミングの基本を教える方法は?Apr 02, 2025 am	 07:18 AM
10時間以内にコンピューター初心者プログラミングの基本を教える方法は?コンピューター初心者にプログラミングの知識を教えるのに10時間しかない場合、何を教えることを選びますか...
See all articles
ホットAIツール
Undresser.AI Undress
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
Undress AI Tool
脱衣画像を無料で
Clothoff.io
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AI Hentai Generator
AIヘンタイを無料で生成します。
もっと見る
人気の記事
R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
4週間前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最高のグラフィック設定
4週間前By尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
2週間前ByDDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
4週間前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.チャットコマンドとそれらの使用方法
4週間前By尊渡假赌尊渡假赌尊渡假赌
もっと見る
ホットツール
DVWA
DVWA
Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、
メモ帳++7.3.1
メモ帳++7.3.1
使いやすく無料のコードエディター
Safe Exam Browser
Safe Exam Browser
Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。
mPDF
mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。
MantisBT
MantisBT
Mantis は、製品の欠陥追跡を支援するために設計された、導入が簡単な Web ベースの欠陥追跡ツールです。 PHP、MySQL、Web サーバーが必要です。デモおよびホスティング サービスをチェックしてください。
もっと見る
ホットトピック
Gmailメールのログイン入り口はどこですか?
7519
15
CakePHP チュートリアル
1378
52
Steamのアカウント名の形式は何ですか
81
11
Win11 Activation Key Permanent
54
19
NYTの接続はヒントと回答です
21
68
もっと見る