XSRF

XSRF即为跨站请求伪造

这个漏洞利用了浏览器的一个允许恶意攻击者在受害者网站注入脚本使未授权请求代表一个已登录用户的安全漏洞。

了解XSRF

当一个网站的图片SRC属性为另一个网站的链接时,浏览器加载这个网站的这张图片时就会访问另一个网站。

防范请求伪造

重要的请求尽可能使用post方法,但这并不是万能的,因为post方法也会被伪造(如HTML表单或XMLHTTPRequest API来向你的应用发送POST请求)。

为了防范伪造POST请求,我们会要求每个请求包括一个参数值作为令牌(token)来匹配存储在cookie中的对应值。我们的应用将通过一个cookie头和一个隐藏的HTML表单元素向页面提供令牌。当一个合法页面的表单被提交时,它将包括表单值和已存储的cookie。如果两者匹配,我们的应用认定请求有效。

由于第三方站点没有访问cookie数据的权限,他们将不能在请求中包含令牌cookie。这有效地防止了不可信网站发送未授权的请求。

使用Tornado的XSRF保护

在setting中做如下设置

settings = {

    "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",

    "xsrf_cookies": True

}

当这个应用标识被设置时,Tornado将拒绝请求参数中不包含正确的_xsrf值的POST、PUT和DELETE请求。Tornado将会在幕后处理_xsrf cookies,但你必须在你的HTML表单中包含XSRF令牌以确保授权合法请求。要做到这一点,只需要在你的模板中包含一个xsrf_form_html调用即可:

<form action="/purchase" method="POST">

    {% raw xsrf_form_html() %}

    <input type="text" name="title" />

    <input type="text" name="quantity" />

    <input type="submit" value="Check Out" />

</form>

实现原理

  1. 为浏览器设置了一个名为_xsrf的安全cookie,这个cookie在关闭浏览器后会失效
  2. 为模板表单添加了一个隐藏域,名为_xsrf,值为_xsrf这个cookie的值

手动设置_xsrf的cookie

class SetXSRFCookieHandler(RequestHandler):

    def get(self, *args, **kwargs):

        # 设置_xsrf的cookie

        self.xsrf_token

        self.finish("ok")

为了让用户一访问就加载上,通常将其放在请求主页的Handler中,而一般将静态页面作为主页,所以在StaticHandler中添加即可

# 定义自己的StaticFileHandler

class StaticFileHandler(StaticFileHandler):

    def __init__(self, *args, **kwargs):

        super(StaticFileHandler, self).__init__(*args, **kwargs)

        self.xsrf_token

XSRF令牌和AJAX请求

AJAX请求也需要一个_xsrf参数,但不是必须显式地在渲染页面时包含一个_xsrf值,而是通过脚本在客户端查询浏览器获得cookie值。下面的两个函数透明地添加令牌值给AJAX POST请求。第一个函数通过名字获取cookie,而第二个函数是一个添加_xsrf参数到传递给postJSON函数数据对象的便捷函数。

function getCookie(name) {

    var c = document.cookie.match("\\b" + name + "=([^;]*)\\b");

    return c ? c[1] : undefined;

}

jQuery.postJSON = function(url, data, callback) {

    data._xsrf = getCookie("_xsrf");

    jQuery.ajax({

        url: url,

        data: jQuery.param(data),

        dataType: "json",

        type: "POST",

        success: callback

    });

}

最新文章

  1. AspxGridView
  2. VC中监测函数运行时间
  3. Kernel compiling for Pi 2
  4. UVA 796 Critical Links(无向图求桥)
  5. log.sh
  6. MySQL 中文显示乱码以及中文查询条件返回0条结果的问题解决
  7. equal_range用法
  8. js执行环境相关
  9. ClassLoader—流程观察程序执行类加载-verbose:class
  10. HDU-2060-Snooker
  11. mac android apk反编译
  12. MySQL初步
  13. 1-Two Sum @LeetCode
  14. git command line 提交代码
  15. ccf--20160403---路径解析
  16. Jenkins 安装简记录
  17. Win7下Qt5的安装及使用
  18. 【计算机基础】当你在浏览器中输入Google.com并且按下回车之后发生了什么?
  19. Python学习笔记(五十)爬虫的自我修养(三)爬取漂亮妹纸图
  20. 关于禁用html中a标签的思考

热门文章

  1. leetcode LRU缓存机制(list+unordered_map)详细解析
  2. java#tostring
  3. The Proof of Fibonacci GCD
  4. Matplotlib 多个图形
  5. POJ 3669 Meteor Shower BFS求最小时间
  6. lambda表达式-很好---《转载》
  7. P2312 解方程(随机化)
  8. 求第K大数(分治)
  9. EXTjs开发————优雅的用extjs写一个柱状图
  10. Day6 - I - Sticks Problem POJ - 2452