2. 程式人生 > >tornado系列五:cookie安全

tornado系列五:cookie安全

阿新 發佈:2019-01-26

1、通過簽名防止cookie篡改

import tornado.httpserver
import tornado.ioloop
import tornado.web
import tornado.options

from tornado.options import define, options
define("port", default=8000, help="run on the given port", type=int)

class MainHandler(tornado.web.RequestHandler):
    def get(self):
        cookie = self.get_secure_cookie("count")
 

        count = int(cookie) + 1 if cookie else 1

        countString = "1 time" if count == 1 else "%d times" % count

        self.set_secure_cookie("count", str(count))

        self.write(
            '<html><head><title>Cookie Counter</title></head>'
            '<body><h1>You’ve viewed this page %s times.</h1>' % countString + 
            '</body></html>'
        )

if __name__ == "__main__":
    tornado.options.parse_command_line()

    settings = {
        "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E="
 

    }

    application = tornado.web.Application([
        (r'/', MainHandler)
    ], **settings)

    http_server = tornado.httpserver.HTTPServer(application)
    http_server.listen(options.port)
    tornado.ioloop.IOLoop.instance().start()
 Tornado的set_secure_cookie()get_secure_cookie()函式傳送和取得瀏覽器的cookies,以防範瀏覽器中的惡意修改。為了使用這些函式,你必須在應用的建構函式中指定cookie_secret
引數。  

Tornado將cookie值編碼為Base-64字串,並添加了一個時間戳和一個cookie內容的HMAC簽名。如果cookie的時間戳太舊(或來自未來),或簽名和期望值不匹配,get_secure_cookie()函式會認為cookie已經被篡改,並返回None,就好像cookie從沒設定過一樣。cookie值是簽名的而不是加密的。

2、使用HTTP-Only和SSL Cookies屬性保證cookie安全

HTTP-Only屬性:禁止JavaScript訪問cookie

SSL Cookies屬性:指示瀏覽器只通過SSL連線傳遞cookie

用法:

self.set_cookie('foo', 'bar', httponly=True, secure=True)

self.set_secure_cookie('foo', 'bar', httponly=True, secure=True)

3、防止cookie的跨站訪問攻擊

通過在應用的建構函式中包含xsrf_cookies引數來開啟XSRF保護:

settings = {
    "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
    "xsrf_cookies": True
}
application = tornado.web.Application([
    (r'/', MainHandler),
    (r'/purchase', PurchaseHandler),
], **settings)

當這個應用標識被設定時,Tornado將拒絕請求引數中不包含正確的_xsrf值的POSTPUTDELETE請求。Tornado將會在幕後處理_xsrf cookies,但你必須在你的HTML表單中包含XSRF令牌以確保授權合法請求。要做到這一點,只需要在你的模板中包含一個xsrf_form_html呼叫即可:

<form action="/purchase" method="POST">
    {% raw xsrf_form_html() %}
    <input type="text" name="title" />
    <input type="text" name="quantity" />
    <input type="submit" value="Check Out" />
</form>

AJAX請求也需要一個_xsrf引數

jQuery.postJSON = function(url, data, callback) {
    data._xsrf = getCookie("_xsrf");
    jQuery.ajax({
        url: url,
        data: jQuery.param(data),
        dataType: "json",
        type: "POST",
        success: callback
    });
}

相關推薦

tornado系列cookie安全

1、通過簽名防止cookie篡改 import tornado.httpserver import tornado.ioloop import tornado.web import tornado.options from tornado.options import

Postman系列Postman中電商網站cookie、token檢驗與引數傳遞實戰

一:Postman中電商網站cookie實戰   Postman介面請求使用cookie兩種方式:     1.直接在header(頭域)中新增cookie,適用於已知請求cookie頭域的情況     2.使用Postman的cookie管理機制,即可以手動新增,同時Postman也會將操作流程中獲取的引數

Ansible系列()playbook應用和roles自動化批量安裝示例

獲取 agg 真的 deb vhd under ice ddl ssh連接 html { font-family: sans-serif } body { margin: 0 } article,aside,details,figcaption,figure,footer,

Redis系列redis鍵管理和redis數據庫管理

切換數據庫 eight eid 鍵值對 ren 遷移 mage try hset 一、redis鍵管理 1 鍵重命名 rename oldKey newkey //格式rename oldKey newKey //若oldKey之前存在則被覆蓋set name ja

SpringBoot系列SpringBoot錯誤處理(數據驗證、處理錯誤頁、全局異常)

lin container sub exce asn valid 程序 validator iterator 1、概念: SpringBoot 錯誤處理 2、具體內容 在之前的程序裏面如果一旦出現了錯誤之後就會出現一堆的大白板,這個白板會有一些錯誤信息(雖然這些錯誤信息你可

SpringCloud系列Ribbon 負載均衡(Ribbon 基本使用、Ribbon 負載均衡、自定義 Ribbon 配置、禁用 Eureka 實現 Ribbon 調用)

control context .mm 別名 void 用戶 size ali ram 1、概念:Ribbon 負載均衡 2、具體內容 現在所有的服務已經通過了 Eureka 進行了註冊,那麽使用 Eureka 註冊的目的是希望所有的服務都統一歸屬到 Eureka 之中進

單點登錄與權限管理本質cookie安全問題

單點登錄繼續介紹「單點登錄與權限管理」系列的第一部分:單點登錄與權限管理本質,前一篇文章介紹了單點登錄概念,以CAS協議的基本流程為例講解了系統間的交互過程,過程中,cookie的設置和傳輸涉及的比較多,如何保證cookie的安全性,是這篇文章要介紹的。 安全相關的知識,了解的也有限,我閱讀了相關的文章,按照

搜索引擎系列Lucene索引詳解(IndexWriter詳解、Document詳解、索引更新)

let integer 自己 textfield app tdi AS query rect 一、IndexWriter詳解 問題1:索引創建過程完成什麽事?     分詞、存儲到反向索引中 1. 回顧Lucene架構圖: 介紹我們編寫的應用程序要完成數據的收集,再將數據

Docker教程系列Docker上部署tomcat

order targe borde tab 網站 web 系列 pull true 1下載tomcat鏡像(7-jre8代表tomcat7和java jdk8,tomcat需要java環境,點擊下面連接可以查看可下載的版本) 查看可下載版本 docker pull

『PHP學習筆記』系列選擇排序

演算法原理: 選擇排序(Selection sort)是一種簡單直觀的排序演算法。 它的工作原理是每一次從待排序的資料元素中選出最小(或最大)的一個元素,存放在序列的起始位置,直到全部待排序的資料元素排完。 求得一個數組的最大值的下標,並將這個最大值下標的單元跟最後一個單元

訊息中介軟體系列RabbitMQ的使用場景(非同步處理、應用解耦)

一、非同步處理 場景: 使用者註冊,寫入資料庫成功以後,傳送郵件和簡訊。 準備工作: 1)安裝RabbitMQ,參考前面的文章 2)新建一個名為RabbitMQAsyncProc的maven web工程,在pom.xml檔案裡面引入如下依賴 <project xmlns="http://maven.a

SpringBoot框架搭建系列()整合Redis

本次我們整合Redis 1、首先引入依賴 <!--redis--> <dependency> <groupId>org.springframework.boot</groupId>

腳手架vue-cli系列基於Nightwatch的端到端測試環境

不同公司和組織之間的測試效率迥異。在這個富互動和響應式處理隨處可見的時代,很多組織都使用敏捷的方式來開發應用,因此測試自動化也成為軟體專案的必備部分。測試自動化意味著使用軟體工具來反覆執行專案中的測試,併為迴歸測試提供反饋。 端到端測試又簡稱E2E(End-To-End test)測試,它不同於單元測試側重

DEVOPS 運維開發系列基於Django過濾器實現自動化運維平臺功能模組的動態授權管理與展示

1、關於Django過濾器 Django中提供了很多內建的過濾器和標籤,我們常用的例如下面這些: block(模板繼承) extends(模板繼承) filter(過濾器) for(迴圈) if(判斷) include(載入模板) 還有很多詳見官網

網路結構解讀之inception系列Inception V4

  在殘差逐漸當道時,google開始研究inception和殘差網路的效能差異以及結合的可能性,並且給出了實驗結構。 本文思想闡述不多,主要是三個結構的網路和實驗效能對比。 Inception-v4, Inception-ResNet and  the Impact of Residual

Docker系列Docke Bridge網路原理,容器間網路通訊,對外通訊詳解

docker中兩個容器之間的網路是如何連線到一起的? 檢視本機的docker網路 docker network ls [[email protected] vagrant]# docker network ls NETWORK ID NAME

Docker系列()Docker網路機制(上)

Linux路由機制打通網路 路由機制是效率最好的 docker128上修改Docker0的網路地址,與docker130不衝突 vi /usr/lib/systemd/system/docker.service(修改配置檔案) ExecStart=/usr/bin/docker d

vagrant系列Vagrant使用中遇到的坑

遇到的問題 之前寫了一系列的vagrant使用教程,當時寫這個教程的時候實在windows的環境下。最近再mac上使用,遇到了一些麻煩。 原文章路徑 今天最想說的一個問題就是許可權的問題。 在windows中由於沒有檔案許可權的概念,所有當我們共享目錄後

ElasticSearch系列掌握ES使用IK中文分詞器

一、內建分詞器的介紹例:Set the shape to semi-transparent by calling set_trans(5)standard analyzer(預設):set, the, shape, to, semi, transparent, by, cal

keystone系列keystone原始碼分析

六 keystone架構   6.1 Keystone API  Keystone API與Openstack其他服務的API類似,也是基於ReSTFul HTTP實現的。 Keystone API劃分為Admin API和Public API: Public API不僅實現獲取版本以及相應擴充