北京SEO

tornado开启xsrf模式的方法详解

2019/10/10/17:47:15  阅读:1618  来源:谷歌SEO算法  标签: 人工智能卓医

CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用,尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行,因此对其进行防范的资源也相当稀少,和难以防范,所以被认为比XSS更具危险性.

当前防范 XSRF 的一种通用的方法,是对每一个用户都记录一个无法预知的 cookie 数据,然后要求所有提交的请求中都必须带有这个 cookie 数据,如果此数据不匹配,那么这个请求就可能是被伪造的.

Tornado 有内建的 XSRF 的防范机制,要使用此机制,你需要在应用配置中加上 xsrf_cookies 设定:

xsrf_cookies=True,

cookie_secret="__TODO:_GENERATE_YOUR_OWN_RANDOM_VALUE_HERE__",

配置完成后就可以使用xsrf_form_html(),代码如下:

  1. <formaction="/new_message"method="post">
  2. {%modulexsrf_form_html()%}
  3. <inputtype="text"name="message"/>
  4. <inputtype="submit"value="Post"/>
  5. </form> //phpfensi.com

之前我一直以为直接用{% xsrf_form_html() %}结果一直报错“ParseError: unknown operator:‘xsrf_form_html()’”,加上module就行了.

广告内容

tornado开启xsrf模式的方法详解 tornado开启xsrf模式的方法详解 tornado开启xsrf模式的方法详解

相关阅读

热门评论

昝辉Zac 昝辉Zac

Zac的SEO博客,坚持12年,优化成为生活。

总篇数171

精选文章

RMAN中catalog和nocatalog区别介绍 小技巧:为Linux下的文件分配多个权限 zimbra8.5.1安装第三方签名ssl证书的步骤 解决mysql不能远程连接数据库方法 windows服务器mysql增量备份批处理数据库 mysql中slow query log慢日志查询分析 JavaScript跨域问题总结 Linux下负载均衡软件LVS配置(VS/DR)教程 mysql中权限参数说明 MYSQL(错误1053)无法正常启动

SEO最新算法