3.1.9 Python跨站请求

水深无声 2022-05-26 03:12 153阅读 0赞

XSRF的含义是Cross-site request forgery，即跨站请求伪造，这种对网站的攻击方式跟上面的跨站脚本（XSS）似乎相像，但攻击方式不一样。XSS利用站点内的信任用户，而XSRF则通过伪装来自受信任用户的请求而利用受信任的网站。与XSS攻击相比，XSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

注意：再开发过程中任何会产生副作用的HTTP请求，比如单击购买按钮、编辑账户设置、改变密码或删除文档等都应该使用post()方法，这是良好的RESTful做法。

在Tornado中提供了XSRF保护的方法。

在 application.py文件中使用xsrf\_cookies参数开启XSRF保护：

\#!/usr/bin/env python

\# coding=utf-8

'''

Created on 2018年4月18日

'''

from url import url

import tornado.web

import os

settings = dict(

template\_path = os.path.join(os.path.dirname(\_\_file\_\_),"templates") ,

static\_path = os.path.join(os.path.dirname(\_\_file\_\_),"statics"),

cookie\_secret = "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",

xsrf\_cookies = True

)

application = tornado.web.Application(

handlers = url,

\*\*settings

)

设置之后，Tornado将拒绝请求参数中不包含正确的\_xsrf值的post/put/delete请求。Tornado会在后面悄悄地处理\_xsrf cookies，所以，在表单中也要包含XSRF令牌以确保请求合法。

所有 index.html页面要进行修改：

<!DOCTYPE html>

<head>

<meta charset="UTF-8">

<meta name="viewport" content="width=device-width, initial-scale=1" />

<script src="\{ \{static\_url('js/jquery.min.js')\}\}"></script>

<script src="\{ \{static\_url('js/script.js')\}\}"></script>

<title>登陆 Python</title>

</head>

<body>

<h2>登陆界面</h2>

<p>欢迎使用\{ \{user\}\}用户登陆</p>

<form method="POST">

\{% raw xsrf\_form\_html() %\}

<p><span>用户名:</span><input type="text" id="username"/></p>

<p><span>密 码:</span><input type="password" id="password" /></p>

<p><input type="button" value="login" id="login" /></p>

</form>

</body>

“\{%raw xsrf\_form\_html()%\}”是新增的，目的就在于实现上面所说的授权给前端以合法请求。

前端向后端发送的请求是通过Ajax()，所以，在Ajax请求中，需要一个\_xsrf参数。所以 script.js需要修改：

function getCookie(name)\{

var x = document.cookie.match("\\\\b" + name + "=(\[^;\]\*)\\\\b");

return x ? x\[1\]:undefined;

\}

$(document).ready(function()\{

$("\#login").click(function()\{

var user = $("\#username").val();//获取用户名

var pwd = $("\#password").val();//获取密码

var da = \{"username":user, "password":pwd ,"\_xsrf":getCookie("\_xsrf") \};

$.ajax(\{

type:"post",

url:"/",

data:da,

cache:false,

success:function(data)\{

window.location.href = "/user?user="+user;

\},

error:function()\{

alert("error!");

\},

\});

\});

\});

函数getCookie()的作用是得到cookie值，然后将这个值放到向后端post的数据中“var da=\{"username":user, "password":pwd,"\_xsrf":getCookie("\_xsrf")\};”。

看看效果：

![2018042411134989][]

这就是Tornado提供的XSRF防护方法，网站安全并不是做到这点就能高枕无忧的，需要考虑的因素很多，需要我们慢慢挖掘。

做网站并不简单，几个简单的页面，看似简单，内里并不简单。

[2018042411134989]: /images/20220526/be7938eb4afd4ba081ebd1ed585fd08e.png

发表评论取消回复

表情：

评论列表（有 0 条评论，153人围观）

还没有评论，来说两句吧...

相关阅读

相关跨站请求伪造——CSRF

目录 csrf与xss的区别 CSRF的介绍利用过程实战靶场下载过程

我会带着你远行/ 2022年11月26日 07:49/ 0 赞/ 262 阅读

相关 CSRF：跨站请求伪造

CSRF：跨站请求伪造 CSRF与XSS的区别原理特点漏洞利用条件自动扫描程序的检测方法例 CSRF与XSS的区别

逃离我推掉我的手/ 2022年11月11日 14:48/ 0 赞/ 273 阅读

相关 django 跨站请求伪造(csrf)

django的跨站请求伪造的中间件是在配置文件settings.py里面配置的。如下图的红色部分就是。 ![csrf][] 已经被我注释掉了（现在我将会把它启用）这个

痛定思痛。/ 2022年05月30日 03:16/ 0 赞/ 313 阅读

相关 3.1.9 Python跨站请求

XSRF的含义是Cross-site request forgery，即跨站请求伪造，这种对网站的攻击方式跟上面的跨站脚本（XSS）似乎相像，但攻击方式不一样。XSS利用站点内

水深无声/ 2022年05月26日 03:12/ 0 赞/ 154 阅读

相关跨站请求伪造

package com.wx.filter; import com.wx.servlet.IndexServlet; import com.w

╰+哭是因爲堅強的太久メ/ 2022年05月25日 11:52/ 0 赞/ 284 阅读

相关 CSRF跨站请求伪造攻击

[CSRF（Cross-site request forgery)跨站请求伪造][CSRF_Cross-site request forgery] CSRF 背景与介绍

怼烎@/ 2022年05月15日 22:58/ 0 赞/ 296 阅读

相关 CRSF跨站请求防御

一、CRSF跨站请求防御实践前段时间网站被渗透扫面发现了全站CRSF漏洞，当时安全中心给出的处置建议是： > 整改建议： > > 1、在敏感操作时添加二次认证措施(

心已赠人/ 2022年04月13日 04:58/ 0 赞/ 103 阅读

相关 CSRF跨站请求伪造

CSRF漏洞详细说明通常情况下，有三种方法被广泛用来防御CSRF攻击：验证token，验证HTTP请求的Referer，还有验证XMLHttpRequests里的自定义

今天药忘吃喽~/ 2021年11月26日 07:31/ 0 赞/ 380 阅读

相关跨站请求伪造

跨站请求伪造概念攻击原理防范手段概念跨站请求伪造（Cross-site request forgery，CSRF），是攻击者通过一

柔情只为你懂/ 2021年10月19日 19:56/ 0 赞/ 411 阅读

相关 csrf(跨站请求伪造)

跨站请求伪造如何体现出功能? 每个用户的form表单都会生成一个字符串,当然(这个后端是肯定知道这个字符串是什么,因为他们公用一套加密方案).假设现在有一个钓鱼网站想模仿

女爷i/ 2021年09月29日 06:26/ 0 赞/ 427 阅读