Tornado Web 防止xsrf攻击

1、xsrf概念

　　xsrf 中文名称为跨站请求伪造，也被称为csrf(Cross-site request forgery)。因为目标站无token/referer限制，致使攻击者能够用户的身份完成操做达到各类目的。

　　hyddd（陈曦明）的文章很详细地描述了这种攻击的发起方式：http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 

2、Tornado Web防止xsrf攻击的方式

　　Tornado Web服务器从设计之初就在安全方面有了不少考虑，使其可以更容易地防范那些常见的漏洞。

　　开启防止xsrf攻击方式的方法很简单，首先在应用的构造函数中包含xsrf_cookies参数来开启XSRF保护：

settings = {
    "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
    "xsrf_cookies": True
}
application = tornado.web.Application([
    (r'/', MainHandler),
    (r'/purchase', PurchaseHandler),
], **settings)

　　当xsrf_cookies的值为true时，Tornado将拒绝请求参数中不包含正确的_xsrf值的POST、PUT和DELETE请求，即你必须在每次的post、put、delete请求中添加_xsrf参数。form表单和ajax请求的实现分别以下：

<form action="/purchase" method="POST">
    {% raw xsrf_form_html() %}
    <input type="text" name="title" />
    <input type="text" name="quantity" />
    <input type="submit" value="Check Out" />
</form>

function getCookie(name) {
    var c = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return c ? c[1] : undefined;
}

jQuery.postJSON = function(url, data, callback) {
    data._xsrf = getCookie("_xsrf");
    jQuery.ajax({
        url: url,
        data: jQuery.param(data),
        dataType: "json",
        type: "POST",
        success: callback
    });
}

在使用xsrf_form_html时XSRF的cookie自动被设置，可是若是你的应用程序所有使用ajax的请求方式，则还需添加 self.xsrf_token ，不然cookie("_xsrf")的值会为undefined。

可重写一个BaseHandler实现。

class BaseHandler(tornado.web.RequestHandler):
    def __init__(self,  *argc, **argkw):
        self.xsrf_token