Python에서 사이트 간 공격을 방지하는 Tornado의 방법 소개

이 글은 토네이도에서 크로스 사이트 공격을 방지하는 방법을 소개합니다. 도움이 필요한 친구들이 참고할 수 있기를 바랍니다.

교차 사이트 요청 위조(CSRF 또는 XSRF)는 웹사이트를 악의적으로 사용하는 것입니다. CSRF를 통해 공격자는 사용자의 신원을 가장하고 사용자가 모르는 사이에 악의적인 작업을 수행할 수 있습니다.

1. CSRF 공격의 원리

다음 그림은 CSRF의 기본 원리를 보여줍니다. Site1은 CSRF 취약점이 있는 웹사이트이고, Site2는 공격이 가능한 악성 웹사이트입니다.

위 사진의 내용은 다음과 같이 분석됩니다.

• 사용자가 처음으로 CSRF 취약점이 있는 사이트인 Site1을 방문하고 성공적으로 로그인하여 쿠키를 얻었습니다. 이후 모든 사용자가 Site1을 방문하면 Site1의 쿠키가 전달됩니다. 쿠키이므로 Site1은 유효한 작업으로 간주됩니다.

• 이때, 사용자는 공격적인 행위를 하는 사이트인 Site2를 방문했는데, Site2의 복귀 페이지에는 악의적인 조작을 위해 Site1에 접속할 수 있는 링크가 포함되어 있었지만, 합법적인 내용으로 위장되어 있었습니다. 예를 들면 다음과 같은 하이퍼링크가 보입니다. 로또 정보인데 실제로는 Site1 사이트에 출금 요청을 제출하는 것입니다

<a>
三百万元抽奖，免费拿
</a>

• 사용자가 악성 링크를 클릭하면 자신도 모르게 Site1 사이트에 출금 요청을 보냅니다. 사용자가 이전에 Site1에 로그인한 적이 있고 로그아웃한 적이 없기 때문에 Site1이 사용자의 요청과 그에 따른 쿠키를 받으면 해당 요청을 사용자가 보낸 정상적인 요청으로 간주합니다. 이 시점에서 악성 사이트의 목적은 달성되었습니다.

2. Tornado를 사용하여 CSRF 공격 방지

CSRF 공격을 방지하려면 각 요청에 쿠키에 저장된 해당 값과 일치하는 토큰으로 매개변수 값이 포함되어야 합니다.

Tornado 애플리케이션은 쿠키 헤더와 숨겨진 HTML 양식 요소를 통해 페이지에 토큰을 제공할 수 있습니다. 이렇게 하면 합법적인 페이지에 대한 양식이 제출될 때 양식 값과 저장된 쿠키가 포함됩니다. 두 가지가 일치하면 Tornado 신청 승인 요청이 유효합니다.

Tornado의 CSRF 방지 기능을 활성화하려면 두 단계가 필요합니다.

[1] tornado.web.Application을 인스턴스화할 때 xsrf_cookies=True 매개변수를 전달합니다. 즉:

application=tornado.web.Application([
(r'/',MainHandler),
],
cookie_secret='DONT_LEAK_SECRET',
xsrf_cookies=True,
)

또는:

settings={
"cookie_secret":"DONT_LEAK_SECRET",
"xsrf_cookies":True
}

application=tornado.web.Application([
(r'/',MainHandler),
],**settings)

tornado.web.Application이 너무 많은 매개변수를 초기화해야 하는 경우 다음과 같이 전달할 수 있습니다. example 설정 사전 형식으로 명명된 매개변수를 전달합니다.

[2] HTML 표현식이 있는 각 템플릿 파일에서 다음과 같이 모든 양식에 xsrf_form_html() 함수 태그를 추가합니다.

{% module xsrf_form_html() %}

여기서는 {% 모듈 xsrf_form_html()에서 시작합니다. %} 교차 사이트 요청을 방지하기 위해 양식에 숨겨진 요소를 추가하게 됩니다.

Tornado의 보안 쿠키 지원 및 XSRF 방지 프레임워크는 애플리케이션 개발자의 부담을 크게 줄여줍니다. 이것이 없으면 개발자는 많은 세부적인 방지 조치를 고려해야 하므로 Tornado에 내장된 보안 기능도 매우 유용합니다.

위 내용은 Python에서 사이트 간 공격을 방지하는 Tornado의 방법 소개의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!