tornado开启xsrf模式的方法详解
CSRF(Cross-site request forgery跨站请求伪造,也被称为[one click attack]或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用,尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行,因此对其进行防范的资源也相当稀少,和难以防范,所以被认为比XSS更具危险性.
当前防范 XSRF 的一种通用的方法,是对每一个用户都记录一个无法预知的 cookie 数据,然后要求所有提交的请求中都必须带有这个 cookie 数据,如果此数据不匹配,那么这个请求就可能是被伪造的.
Tornado 有内建的 XSRF 的防范机制,要使用此机制,你需要在应用配置中加上 xsrf_cookies 设定:
xsrf_cookies=True,
cookie_secret="__TODO:_GENERATE_YOUR_OWN_RANDOM_VALUE_HERE__",
配置完成后就可以使用xsrf_form_html(),代码如下:
<form action = "/new_message" method= "post" > {% module xsrf_form_html() %} <input type="text" name = "message" /> <input type="submit" value= "Post" /> </form> //phpfensi.com 之前我一直以为直接用{% xsrf_form_html() %}结果一直报错[ParseError: unknown operator:‘xsrf_form_html()’],加上module就行了.
查看更多关于tornado开启xsrf模式的方法详解 - linux教程的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did22368