Python中Tornado防止跨站攻擊的方法介紹-Python教學-PHP中文網

首頁

後端開發

Python教學

Python中Tornado防止跨站攻擊的方法介紹

不言

Oct 20, 2018 pm 03:28 PM

python

這篇文章帶給大家的內容是關於Python中Tornado防止跨站攻擊的方法介紹，有一定的參考價值，有需要的朋友可以參考一下，希望對你有幫助。

跨站請求偽造（Cross-site request forgery，CSRF 或XSRF）是對網站的惡意利用。透過CSRF，攻擊者可以冒用使用者的身份，在使用者不知情的情況下執行惡意操作。

1、CSRF攻擊原理

下圖展示了CSRF的基本原理。其中Site1是存在CSRF漏洞的網站，而SIte2是存在攻擊行為的惡意網站。

Python中Tornado防止跨站攻擊的方法介紹
上圖內容解析如下：

用戶首先造訪了存在CSRF漏洞網站Site1，成功登陸並取得了Cookie，此後，所有該用戶對Site1的訪問均會攜帶Site1的Cookie，因此被Site1認為是有效操作。
此時使用者又造訪了帶有攻擊行為的網站Site2，而Site2的返回頁面中帶有一個訪問Site1進行惡意操作的連接，但卻偽裝成了合法內容，例如下面的超鏈接看起來是一個抽獎信息，實際上卻是想Site1站點提交提款請求

<a>
三百万元抽奖，免费拿
</a>

##用戶一旦點擊惡意鏈接，就在不知情的情況下向Site1網站發送了請求。因為之前用戶在Site1進行過登陸且尚未退出，所以Site1在收到用戶的請求和附帶的Cookie時將被認為該請求是用戶發送的正常請求。此時，惡意網站的目的也已經達到。

2、用Tornado防範CSRF攻擊

為了防範CSRF攻擊，要求每個請求包含一個參數值作為令牌的匹配存儲在Cookie中的對應值。

Tornado應用程式可以透過一個Cookie頭和一個隱藏的HTML表單元素向頁面提供令牌。這樣，當一個合法頁面的表單被提交時，它將包括表單值和已儲存的Cookie。如果兩者匹配，則Tornado應用程式認可請求有效。

開啟Tornado的CSRF防範功能需要兩個步驟。

【1】在實例化tornado.web.Application時傳入xsrf_cookies=True參數，即：

application=tornado.web.Application([
(r'/',MainHandler),
],
cookie_secret='DONT_LEAK_SECRET',
xsrf_cookies=True,
)

或：

settings={
"cookie_secret":"DONT_LEAK_SECRET",
"xsrf_cookies":True
}

application=tornado.web.Application([
(r'/',MainHandler),
],**settings)

當tornado.web.Application需要初始化的參數過多時，可以像本例一樣透過setting字典的形式傳入命名參數

【2】在每個具有HTML表達的範本檔案中，為所有表單新增xsrf_form_html()函數標籤，例如：

這裡的{% module xsrf_form_html() %}起到了為表單添加隱藏元素以防止跨站請求的作用。

Tornado的安全Cookie支援和XSRF防範框架減輕了應用程式開發者的許多負擔，沒有他們，開發者需要思考很多防範的細節措施，因此Tornado內建的安全功能也非常有用。

以上是Python中Tornado防止跨站攻擊的方法介紹的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：segmentfault思否。如有侵權，請聯絡admin@php.cn刪除

Python的執行模型：編譯，解釋還是兩者？May 10, 2025 am 12:04 AM

pythonisbothCompileDIntered。

Python是按線執行的嗎？May 10, 2025 am 12:03 AM

Python不是嚴格的逐行執行，而是基於解釋器的機制進行優化和條件執行。解釋器將代碼轉換為字節碼，由PVM執行，可能會預編譯常量表達式或優化循環。理解這些機制有助於優化代碼和提高效率。

python中兩個列表的串聯替代方案是什麼？May 09, 2025 am 12:16 AM

可以使用多種方法在Python中連接兩個列表：1.使用操作符，簡單但在大列表中效率低；2.使用extend方法，效率高但會修改原列表；3.使用 =操作符，兼具效率和可讀性；4.使用itertools.chain函數，內存效率高但需額外導入；5.使用列表解析，優雅但可能過於復雜。選擇方法應根據代碼上下文和需求。

Python：合併兩個列表的有效方法May 09, 2025 am 12:15 AM

有多種方法可以合併Python列表：1.使用操作符，簡單但對大列表不內存高效；2.使用extend方法，內存高效但會修改原列表；3.使用itertools.chain，適用於大數據集；4.使用*操作符，一行代碼合併小到中型列表；5.使用numpy.concatenate，適用於大數據集和性能要求高的場景；6.使用append方法，適用於小列表但效率低。選擇方法時需考慮列表大小和應用場景。

編譯的與解釋的語言：優點和缺點May 09, 2025 am 12:06 AM

CompiledLanguagesOffersPeedAndSecurity，而interneterpretledlanguages provideeaseafuseanDoctability.1）commiledlanguageslikec arefasterandSecureButhOnderDevevelmendeclementCyclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesandentency.2）cransportedeplatectentysenty

Python：對於循環，最完整的指南May 09, 2025 am 12:05 AM

Python中，for循環用於遍歷可迭代對象，while循環用於條件滿足時重複執行操作。 1）for循環示例：遍歷列表並打印元素。 2）while循環示例：猜數字遊戲，直到猜對為止。掌握循環原理和優化技巧可提高代碼效率和可靠性。

python concatenate列表到一個字符串中May 09, 2025 am 12:02 AM

要將列表連接成字符串，Python中使用join()方法是最佳選擇。 1)使用join()方法將列表元素連接成字符串，如''.join(my_list)。 2)對於包含數字的列表，先用map(str,numbers)轉換為字符串再連接。 3)可以使用生成器表達式進行複雜格式化，如','.join(f'({fruit})'forfruitinfruits)。 4)處理混合數據類型時，使用map(str,mixed_list)確保所有元素可轉換為字符串。 5)對於大型列表，使用''.join(large_li

Python的混合方法：編譯和解釋合併May 08, 2025 am 12:16 AM

pythonuseshybridapprace，ComminingCompilationTobyTecoDeAndInterpretation.1）codeiscompiledtoplatform-Indepententbybytecode.2）bytecodeisisterpretedbybythepbybythepythonvirtualmachine，增強效率和通用性。

See all articles