摘要:上一篇文章第二章實(shí)戰(zhàn)演練開發(fā)網(wǎng)站第八節(jié)用戶身份認(rèn)證下一篇文章第三章概念及應(yīng)用第一節(jié)概念跨站請求偽造�����,或是一種對網(wǎng)站的惡意利用����。其中是存在漏洞的網(wǎng)站�,而是存在攻擊行為的惡意網(wǎng)站。
上一篇文章:Python:Tornado 第二章:實(shí)戰(zhàn)演練:開發(fā)Tornado網(wǎng)站:第八節(jié):用戶身份認(rèn)證
下一篇文章:Python:Tornado 第三章:HTML5 WebSocket概念及應(yīng)用:第一節(jié):WebSocket概念
跨站請求偽造(Cross-site request forgery�����,CSRF 或XSRF)是一種對網(wǎng)站的惡意利用�。通過CSRF,攻擊者可以冒用用戶的身份��,在用戶不知情的情況下執(zhí)行惡意操作��。
1�����、CSRF攻擊原理
下圖展示了CSRF的基本原理����。其中Site1是存在CSRF漏洞的網(wǎng)站,而SIte2是存在攻擊行為的惡意網(wǎng)站�����。
上圖內(nèi)容解析如下:
用戶首先訪問了存在CSRF漏洞網(wǎng)站Site1��,成功登陸并獲取了Cookie����,此后,所有該用戶對Site1的訪問均會攜帶Site1的Cookie��,因此被Site1認(rèn)為是有效操作���。
此時用戶又訪問了帶有攻擊行為的站點(diǎn)Site2���,而Site2的返回頁面中帶有一個訪問Site1進(jìn)行惡意操作的連接,但卻偽裝成了合法內(nèi)容���,比如下面的超鏈接看上去是一個抽獎信息��,實(shí)際上卻是想Site1站點(diǎn)提交提款請求
三百萬元抽獎���,免費(fèi)拿
用戶一旦點(diǎn)擊惡意鏈接�����,就在不知情的情況下向Site1站點(diǎn)發(fā)送了請求��。因?yàn)橹坝脩粼赟ite1進(jìn)行過登陸且尚未退出���,所以Site1在收到用戶的請求和附帶的Cookie時將被認(rèn)為該請求是用戶發(fā)送的正常請求。此時��,惡意站點(diǎn)的目的也已經(jīng)達(dá)到�。
2、用Tornado防范CSRF攻擊
為了防范CSRF攻擊����,要求每個請求包括一個參數(shù)值作為令牌的匹配存儲在Cookie中的對應(yīng)值。
Tornado應(yīng)用可以通過一個Cookie頭和一個隱藏的HTML表單元素向頁面提供令牌�。這樣,當(dāng)一個合法頁面的表單被提交時��,它將包括表單值和已存儲的Cookie�。如果兩者匹配,則Tornado應(yīng)用認(rèn)可請求有效����。
開啟Tornado的CSRF防范功能需要兩個步驟。
【1】在實(shí)例化tornado.web.Application時傳入xsrf_cookies=True參數(shù)�,即:
application=tornado.web.Application([
(r"/",MainHandler),
],
cookie_secret="DONT_LEAK_SECRET",
xsrf_cookies=True,
)
或者:
settings={
"cookie_secret":"DONT_LEAK_SECRET",
"xsrf_cookies":True
}
application=tornado.web.Application([
(r"/",MainHandler),
],**settings)
當(dāng)tornado.web.Application需要初始化的參數(shù)過多時,可以像本例一樣通過setting字典的形式傳入命名參數(shù)
【2】在每個具有HTML表達(dá)的模板文件中����,為所有表單添加xsrf_form_html()函數(shù)標(biāo)簽,比如:
這里的{% module xsrf_form_html() %}起到了為表單添加隱藏元素以防止跨站請求的作用�。
Tornado的安全Cookie支持和XSRF防范框架減輕了應(yīng)用開發(fā)者的很多負(fù)擔(dān),沒有他們��,開發(fā)者需要思考很多防范的細(xì)節(jié)措施��,因此Tornado內(nèi)建的安全功能也非常有用�����。
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/42613.html
