Heim > Backend-Entwicklung > Python-Tutorial > Eine Einführung in Tornados Methode zur Verhinderung standortübergreifender Angriffe in Python

Eine Einführung in Tornados Methode zur Verhinderung standortübergreifender Angriffe in Python

不言
Freigeben: 2018-10-20 15:32:11
nach vorne
2035 Leute haben es durchsucht

Dieser Artikel bietet Ihnen eine Einführung in die Methode von Tornado zur Verhinderung standortübergreifender Angriffe. Ich hoffe, dass er Ihnen als Referenz dienen wird.

Cross-Site Request Forgery (CSRF oder XSRF) ist eine böswillige Nutzung einer Website. Durch CSRF können Angreifer die Identität des Benutzers annehmen und ohne Wissen des Benutzers böswillige Operationen ausführen.

1. CSRF-Angriffsprinzip

Die folgende Abbildung zeigt das Grundprinzip von CSRF. Site1 ist eine Website mit CSRF-Schwachstellen und Site2 ist eine bösartige Website mit Angriffen.

Eine Einführung in Tornados Methode zur Verhinderung standortübergreifender Angriffe in Python
Der Inhalt des obigen Bildes wird wie folgt analysiert:

  • Der Benutzer besuchte zuerst Site1, eine Website mit CSRF-Schwachstellen, und meldete sich erfolgreich an und erhaltene Cookies. Danach wird jeder Besuch des Benutzers auf Site1 das Cookie von Site1 enthalten, sodass dies von Site1 als gültiger Vorgang angesehen wird.

  • Zu diesem Zeitpunkt besuchte der Benutzer Site2, eine Site mit anstößigem Verhalten, und die Rückkehrseite von Site2 enthielt einen Link zum Besuch von Site1 für böswillige Vorgänge, der jedoch als legitimer Inhalt getarnt war Beispielsweise sieht der folgende Hyperlink wie eine Lotterieinformation aus, möchte aber tatsächlich eine Auszahlungsanforderung an die Site1-Site senden

<a>
三百万元抽奖,免费拿
</a>
Nach dem Login kopieren
  • Sobald der Benutzer darauf klickt Der schädliche Link. Eine Anfrage wurde ohne Ihr Wissen an die Site1-Site gesendet. Da sich der Benutzer zuvor bei Site1 angemeldet und nicht abgemeldet hat, wird Site1, wenn er die Anfrage des Benutzers und das zugehörige Cookie erhält, die Anfrage als eine normale, vom Benutzer gesendete Anfrage betrachten. Zu diesem Zeitpunkt wurde der Zweck der bösartigen Website erreicht.

2. Verwenden Sie Tornado, um CSRF-Angriffe zu verhindern

Um CSRF-Angriffe zu verhindern, muss jede Anfrage einen Parameterwert als enthalten passender Speicher für das Token Der entsprechende Wert im Cookie.

Tornado-Anwendungen können der Seite über einen Cookie-Header und ein verstecktes HTML-Formularelement Token bereitstellen. Auf diese Weise enthält das Formular für eine legitime Seite beim Absenden die Formularwerte und die gespeicherten Cookies. Wenn die beiden übereinstimmen, ist die Genehmigungsanfrage für den Tornado-Antrag gültig.

Die Aktivierung der CSRF-Präventionsfunktion von Tornado erfordert zwei Schritte.

[1] Übergeben Sie den Parameter xsrf_cookies=True, wenn Sie tornado.web.Application instanziieren, also:

application=tornado.web.Application([
(r'/',MainHandler),
],
cookie_secret='DONT_LEAK_SECRET',
xsrf_cookies=True,
)
Nach dem Login kopieren

oder:

settings={
"cookie_secret":"DONT_LEAK_SECRET",
"xsrf_cookies":True
}

application=tornado.web.Application([
(r'/',MainHandler),
],**settings)
Nach dem Login kopieren

, wenn tornado.web.Application dies benötigt Wenn zu viele initialisierte Parameter vorhanden sind, können Sie benannte Parameter in Form eines Einstellungswörterbuchs wie in diesem Beispiel übergeben

[2] Fügen Sie in jeder Vorlagendatei mit HTML-Ausdruck allen Formularen die Funktions-Tags xsrf_form_html() hinzu . Zum Beispiel:

Nach dem Login kopieren
{% module xsrf_form_html() %}

Das {% module xsrf_form_html() %} spielt hier die Rolle, versteckte Elemente zum Formular hinzuzufügen, um standortübergreifende Anfragen zu verhindern.

Tornados sichere Cookie-Unterstützung und das XSRF-Präventions-Framework reduzieren die Belastung für Anwendungsentwickler erheblich. Ohne sie müssen Entwickler über viele detaillierte Präventionsmaßnahmen nachdenken, daher sind auch die integrierten Sicherheitsfunktionen von Tornado sehr nützlich.

Das obige ist der detaillierte Inhalt vonEine Einführung in Tornados Methode zur Verhinderung standortübergreifender Angriffe in Python. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:segmentfault.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage