Dieser Artikel bietet Ihnen eine Einführung in die Methode von Tornado zur Verhinderung standortübergreifender Angriffe. Ich hoffe, dass er Ihnen als Referenz dienen wird.
Cross-Site Request Forgery (CSRF oder XSRF) ist eine böswillige Nutzung einer Website. Durch CSRF können Angreifer die Identität des Benutzers annehmen und ohne Wissen des Benutzers böswillige Operationen ausführen.
1. CSRF-Angriffsprinzip
Die folgende Abbildung zeigt das Grundprinzip von CSRF. Site1 ist eine Website mit CSRF-Schwachstellen und Site2 ist eine bösartige Website mit Angriffen.
Der Inhalt des obigen Bildes wird wie folgt analysiert:
Der Benutzer besuchte zuerst Site1, eine Website mit CSRF-Schwachstellen, und meldete sich erfolgreich an und erhaltene Cookies. Danach wird jeder Besuch des Benutzers auf Site1 das Cookie von Site1 enthalten, sodass dies von Site1 als gültiger Vorgang angesehen wird.
Zu diesem Zeitpunkt besuchte der Benutzer Site2, eine Site mit anstößigem Verhalten, und die Rückkehrseite von Site2 enthielt einen Link zum Besuch von Site1 für böswillige Vorgänge, der jedoch als legitimer Inhalt getarnt war Beispielsweise sieht der folgende Hyperlink wie eine Lotterieinformation aus, möchte aber tatsächlich eine Auszahlungsanforderung an die Site1-Site senden
<a> 三百万元抽奖,免费拿 </a>
Sobald der Benutzer darauf klickt Der schädliche Link. Eine Anfrage wurde ohne Ihr Wissen an die Site1-Site gesendet. Da sich der Benutzer zuvor bei Site1 angemeldet und nicht abgemeldet hat, wird Site1, wenn er die Anfrage des Benutzers und das zugehörige Cookie erhält, die Anfrage als eine normale, vom Benutzer gesendete Anfrage betrachten. Zu diesem Zeitpunkt wurde der Zweck der bösartigen Website erreicht.
2. Verwenden Sie Tornado, um CSRF-Angriffe zu verhindern
Um CSRF-Angriffe zu verhindern, muss jede Anfrage einen Parameterwert als enthalten passender Speicher für das Token Der entsprechende Wert im Cookie.
Tornado-Anwendungen können der Seite über einen Cookie-Header und ein verstecktes HTML-Formularelement Token bereitstellen. Auf diese Weise enthält das Formular für eine legitime Seite beim Absenden die Formularwerte und die gespeicherten Cookies. Wenn die beiden übereinstimmen, ist die Genehmigungsanfrage für den Tornado-Antrag gültig.
Die Aktivierung der CSRF-Präventionsfunktion von Tornado erfordert zwei Schritte.
[1] Übergeben Sie den Parameter xsrf_cookies=True, wenn Sie tornado.web.Application instanziieren, also:
application=tornado.web.Application([ (r'/',MainHandler), ], cookie_secret='DONT_LEAK_SECRET', xsrf_cookies=True, )
oder:
settings={ "cookie_secret":"DONT_LEAK_SECRET", "xsrf_cookies":True } application=tornado.web.Application([ (r'/',MainHandler), ],**settings)
, wenn tornado.web.Application dies benötigt Wenn zu viele initialisierte Parameter vorhanden sind, können Sie benannte Parameter in Form eines Einstellungswörterbuchs wie in diesem Beispiel übergeben
[2] Fügen Sie in jeder Vorlagendatei mit HTML-Ausdruck allen Formularen die Funktions-Tags xsrf_form_html() hinzu . Zum Beispiel:
Das {% module xsrf_form_html() %} spielt hier die Rolle, versteckte Elemente zum Formular hinzuzufügen, um standortübergreifende Anfragen zu verhindern.
Tornados sichere Cookie-Unterstützung und das XSRF-Präventions-Framework reduzieren die Belastung für Anwendungsentwickler erheblich. Ohne sie müssen Entwickler über viele detaillierte Präventionsmaßnahmen nachdenken, daher sind auch die integrierten Sicherheitsfunktionen von Tornado sehr nützlich.
Das obige ist der detaillierte Inhalt vonEine Einführung in Tornados Methode zur Verhinderung standortübergreifender Angriffe in Python. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!