CSRF

csrf：跨站请求伪造(也能够叫xsrf)，是用于限制 post 请求的。在tornado中的csrf。

csrf工做

第一次get请求访问的时候，返回一个随机字符串写入cookie以及展示整个网页的代码。当你第二次发送post请求的时候，会带上这个随机字符串，而后后台能够获取这个字符串，并左相应的操做。

生成的这段随机字符串，能够理解为一个惟一身份证实。

tornado中的csrf

在tornado中使用csrf，首先要在配置文件settings中设置对应的选项：

当咱们不加这段的时候，咱们的请求无论是 get 仍是 post 和普通的没区别。

当加上的时候，第一次 get 请求，而后再发送 post 请求。post请求会报错。403 报错。

form表单方式处理方法

虽然csrf会生成一段随机字符串，但在tornado中这段字符串并不禁咱们本身设置，当在settings中配置了具体的选项后，它会自动帮咱们生成。那在表单提交中怎样操做才能正常执行的流程？

在前端form代码中加上这端代码，执行访问流程便可查看csrf自动生成的随机字符串。

说明：

上面这个input框的value内容就是生成的随机字符串。

从结果中看到生成的是一个input标签，而且type为hidden。这个标签在浏览器中渲染的结果，是一个隐藏的input标签。

咱们在页面上正常使用：

浏览器页面显示：

查看开发者工具中页面html标签：

能够清楚的看到html结构中有这段代码，而后后台就能够经过对应的name=”_xsrf”获取input标签的value值。也就获取到了这段随机字符串。

AJAX方式处理方法

第一次get请求访问页面的时候，csrf生成的随机字符串，不但写入了form表单，在cookie中一样也为咱们写入了一份。

当在settings中配置了xsrf后，利用js发送请求，结果也是会报错。403报错。

解决思路：

一、先经过cookie获取生成的随机字符串

二、post请求的时候，看成参数带着过去。

关键点：就是首先的获取随机串，而后post请求的时候带着这个随机串去请求。