Tornado 编写安全应用
Tornado Web服务器从设计之初就在安全方面有了不少考虑,使其可以更容易地防范那些常见的漏洞。安全 cookies 防止用户的本地状态被其浏览器中的恶意代码暗中修改。此外,浏览器cookies 能够与 HTTP 请求参数值做比较来防范跨站请求伪造攻击。
Cookie 漏洞:
许多网站使用浏览器 cookies 来存储浏览器会话间的用户标识。这是一个简单而又被广
泛兼容的方式来存储跨浏览器会话的持久状态。不幸的是,浏览器 cookies 容易受到一
些常见的攻击。
泛兼容的方式来存储跨浏览器会话的持久状态。不幸的是,浏览器 cookies 容易受到一
些常见的攻击。
Cookie 伪造:有不少方式能够在浏览器中截获 cookies。JavaScript 和 Flash 对于它们所执行的页面
的域有读写 cookies 的权限。浏览器插件也可由编程方法访问这些数据。跨站脚本攻击
能够利用这些访问来修改访客浏览器中 cookies 的值。
的域有读写 cookies 的权限。浏览器插件也可由编程方法访问这些数据。跨站脚本攻击
能够利用这些访问来修改访客浏览器中 cookies 的值。
安全 Cookies:Tornado 的安全 cookies 使用加密签名来验证 cookies 的值没有被服务器软件之外的任
何人修改过。由于一个恶意脚本并不知道安全密钥,因此它不能在应用不知情时修改
cookies。
何人修改过。由于一个恶意脚本并不知道安全密钥,因此它不能在应用不知情时修改
cookies。
使用安全 Cookies:Tornado 的 set_secure_cookie()和 get_secure_cookie()函数发送和取得浏览器
的 cookies,以防范浏览器中的恶意修改。为了使用这些函数,你必须在应用的构造函数(settings)中指定 cookie_secret (cookie的安全密钥)参数。
的 cookies,以防范浏览器中的恶意修改。为了使用这些函数,你必须在应用的构造函数(settings)中指定 cookie_secret (cookie的安全密钥)参数。
在 调用set_secure_cookie()写cookie时,会用settings中设置的cookie_secret安全密钥来对cookie进行签 名,当调用get_secure_cookie()时就会用cookie_secret安全密钥对取出的cookie值进行验证,若cookie时间戳汰 旧,或者签名与指望值不匹配则认为cookie已遭篡改,则get_secure_cookie()返回None,不然则返回cookie的值。
传递给 Application 构造函数的 cookie_secret 值应该是惟一的随机字符串。在 Python shell
下执行下面的代码片断将产生一个你本身的值:
>>> import base64, uuid
>>> base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes)
'bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E='
然而,Tornado 的安全 cookies 仍然容易被窃听。攻击者可能会经过脚本或浏览器插件
截获 cookies,或者干脆窃听未加密的网络数据。记住 cookie 值是签名的而不是加密的。
恶意程序可以读取已存储的 cookies,而且能够传输他们的数据到任意服务器,或者通
过发送没有修改的数据给应用伪造请求。所以,避免在浏览器 cookie 中存储敏感的用
户数据是很是重要的。
下执行下面的代码片断将产生一个你本身的值:
>>> import base64, uuid
>>> base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes)
'bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E='
然而,Tornado 的安全 cookies 仍然容易被窃听。攻击者可能会经过脚本或浏览器插件
截获 cookies,或者干脆窃听未加密的网络数据。记住 cookie 值是签名的而不是加密的。
恶意程序可以读取已存储的 cookies,而且能够传输他们的数据到任意服务器,或者通
过发送没有修改的数据给应用伪造请求。所以,避免在浏览器 cookie 中存储敏感的用
户数据是很是重要的。
咱们还须要注意用户可能修改他本身的 cookies 的可能性,这会致使提权攻击。好比,
若是咱们在 cookie 中存储了用户已付费的文章剩余的浏览数,咱们但愿防止用户本身
更新其中的数值来获取免费的内容。httponly 和 secure 属性能够帮助咱们防范这种
攻击。
若是咱们在 cookie 中存储了用户已付费的文章剩余的浏览数,咱们但愿防止用户本身
更新其中的数值来获取免费的内容。httponly 和 secure 属性能够帮助咱们防范这种
攻击。
HTTP-Only 和 SSL Cookies
Tornado 的 cookie 功能依附于 Python 内建的 Cookie 模块。所以,咱们能够利用它所
提供的一些安全功能。这些安全属性是 HTTP cookie 规范的一部分,并在它多是如
何暴露其值给它链接的服务器和它运行的脚本方面给予浏览器指导。好比,咱们能够通
过只容许 SSL 链接的方式减小 cookie 值在网络中被截获的可能性。咱们也可让浏览
器对 JavaScript 隐藏 cookie 值。
为 cookie 设置 secure 属性来指示浏览器只经过 SSL 链接传递 cookie。(这可能会产
生一些困扰,但这不是 Tornado 的安全 cookies,更精确的说那种方法应该被称为签名
cookies。)从 Python 2.6 版本开始,Cookie 对象还提供了一个 httponly 属性。包括
这个属性指示浏览器对于 JavaScript 不可访问 cookie,这能够防范来自读取 cookie 值
的跨站脚本攻击。
为了开启这些功能,你能够向 set_cookie 和 set_secure_cookie 方法传递关键字参
数。好比,一个安全的 HTTP-only cookie(不是 Tornado 的签名 cookie)能够调用
self.set_cookie('foo', 'bar', httponly=True, secure=True)发送。
提供的一些安全功能。这些安全属性是 HTTP cookie 规范的一部分,并在它多是如
何暴露其值给它链接的服务器和它运行的脚本方面给予浏览器指导。好比,咱们能够通
过只容许 SSL 链接的方式减小 cookie 值在网络中被截获的可能性。咱们也可让浏览
器对 JavaScript 隐藏 cookie 值。
为 cookie 设置 secure 属性来指示浏览器只经过 SSL 链接传递 cookie。(这可能会产
生一些困扰,但这不是 Tornado 的安全 cookies,更精确的说那种方法应该被称为签名
cookies。)从 Python 2.6 版本开始,Cookie 对象还提供了一个 httponly 属性。包括
这个属性指示浏览器对于 JavaScript 不可访问 cookie,这能够防范来自读取 cookie 值
的跨站脚本攻击。
为了开启这些功能,你能够向 set_cookie 和 set_secure_cookie 方法传递关键字参
数。好比,一个安全的 HTTP-only cookie(不是 Tornado 的签名 cookie)能够调用
self.set_cookie('foo', 'bar', httponly=True, secure=True)发送。
请求漏洞
任何 Web 应用所面临的一个主要安全漏洞是跨站请求伪造,一般被简写为 CSRF 或
XSRF,发音为"sea surf"。这个漏洞利用了浏览器的一个容许恶意攻击者在受害者网站
注入脚本使未受权请求表明一个已登陆用户的安全漏洞。让咱们看一个例子。
XSRF,发音为"sea surf"。这个漏洞利用了浏览器的一个容许恶意攻击者在受害者网站
注入脚本使未受权请求表明一个已登陆用户的安全漏洞。让咱们看一个例子。
防范请求伪造:
有不少预防措施能够防止这种类型的攻击。首先你在开发应用时须要深谋远虑。任何会
产生反作用的 HTTP 请求,好比点击购买按钮、编辑帐户设置、改变密码或删除文档,
都应该使用 HTTP POST 方法。不管如何,这是良好的 RESTful 作法,但它也有额外的
优点用于防范像咱们刚才看到的恶意图像那样琐碎的 XSRF 攻击。可是,这并不足够:
一个恶意站点可能会经过其余手段, HTML 表单或 XMLHTTPRequest API 来向你的应用发送 POST 请求。保护 POST 请求须要额外的策略。
产生反作用的 HTTP 请求,好比点击购买按钮、编辑帐户设置、改变密码或删除文档,
都应该使用 HTTP POST 方法。不管如何,这是良好的 RESTful 作法,但它也有额外的
优点用于防范像咱们刚才看到的恶意图像那样琐碎的 XSRF 攻击。可是,这并不足够:
一个恶意站点可能会经过其余手段, HTML 表单或 XMLHTTPRequest API 来向你的应用发送 POST 请求。保护 POST 请求须要额外的策略。
为了防范伪造 POST 请求,咱们会要求每一个请求包括一个参数值做为令牌来匹配存储在
cookie 中的对应值。咱们的应用将经过一个 cookie 头和一个隐藏的 HTML 表单元素向
页面提供令牌。当一个合法页面的表单被提交时,它将包括表单值和已存储的 cookie。
若是二者匹配,咱们的应用认定请求有效。
因为第三方站点没有访问 cookie 数据的权限,他们将不能在请求中包含令牌 cookie。
这有效地防止了不可信网站发送未受权的请求。正如咱们看到的,Tornado 一样会让这
个实现变得简单。
cookie 中的对应值。咱们的应用将经过一个 cookie 头和一个隐藏的 HTML 表单元素向
页面提供令牌。当一个合法页面的表单被提交时,它将包括表单值和已存储的 cookie。
若是二者匹配,咱们的应用认定请求有效。
因为第三方站点没有访问 cookie 数据的权限,他们将不能在请求中包含令牌 cookie。
这有效地防止了不可信网站发送未受权的请求。正如咱们看到的,Tornado 一样会让这
个实现变得简单。
使用 Tornado 的 XSRF 保护
你能够经过在应用的构造函数中包含 xsrf_cookies 参数来开启 XSRF 保护:
settings = {
"cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
"xsrf_cookies": True
}
application = tornado.web.Application([
(r'/', MainHandler),
(r'/purchase', PurchaseHandler),
], **settings)
当这个应用标识被设置时,
Tornado 将拒绝请求参数中不包含正确的_xsrf 值的 POST、
PUT 和 DELETE 请求。Tornado 将会在幕后处理_xsrf cookies,但你必须在你的 HTML
表单中包含 XSRF 令牌以确保受权合法请求。要作到这一点,只须要在你的模板中包含
一个 xsrf_form_html 调用便可:
<form action="/purchase" method="POST">
{% raw xsrf_form_html() %}
<input type="text" name="title" />
<input type="text" name="quantity" />
<input type="submit" value="Check Out" />
</form>
你能够经过在应用的构造函数中包含 xsrf_cookies 参数来开启 XSRF 保护:
settings = {
"cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
"xsrf_cookies": True
}
application = tornado.web.Application([
(r'/', MainHandler),
(r'/purchase', PurchaseHandler),
], **settings)
当这个应用标识被设置时,
Tornado 将拒绝请求参数中不包含正确的_xsrf 值的 POST、
PUT 和 DELETE 请求。Tornado 将会在幕后处理_xsrf cookies,但你必须在你的 HTML
表单中包含 XSRF 令牌以确保受权合法请求。要作到这一点,只须要在你的模板中包含
一个 xsrf_form_html 调用便可:
<form action="/purchase" method="POST">
{% raw xsrf_form_html() %}
<input type="text" name="title" />
<input type="text" name="quantity" />
<input type="submit" value="Check Out" />
</form>
开 启了XSRF防御后,Tornado对全部的POST请求默认是不信任的,因此当提交post表单是必须包含一个token,{% raw xsrf_form_html() %}这个标签会获取cookie中的_xsrf的cookie值,而且在html标签中包含cookie的头信息,及用hidden表单提交token值 到服务器,服务器用这个token值与cookie中存储的对应值作比较,若匹配则说明post请求是可信任的,不然则不可信任。
XSRF 令牌和 AJAX 请求
AJAX 请求也须要一个_xsrf 参数,
但不是必须显式地在渲染页面时包含一个_xsrf 值,
而是经过脚本在客户端查询浏览器得到 cookie 值。下面的两个函数透明地添加令牌值
给 AJAX POST 请求。
第一个函数经过名字获取 cookie,
而第二个函数是一个添加_xsrf
参数到传递给 postJSON 函数数据对象的便捷函数。
function getCookie(name) {
var c = document.cookie.match("\\b" + name + "=([^;]*)\\b");
return c ? c[1] : undefined;
}
jQuery.postJSON = function(url, data, callback) {
data._xsrf = getCookie("_xsrf");
jQuery.ajax({
url: url,
data: jQuery.param(data),
dataType: "json",
type: "POST",
success: callback
});
}
这些预防措施须要思考不少,而 Tornado 的安全 cookies 支持和 XSRF 保护减轻了应
用开发者的一些负担。能够确定的是,内建的安全功能也很是有用,但在思考你应用的
安全性方面须要时刻保持警戒。有不少在线 Web 应用安全文献,其中一个更全面的实
践对策集合是 Mozilla 的安全编程指南。
但不是必须显式地在渲染页面时包含一个_xsrf 值,
而是经过脚本在客户端查询浏览器得到 cookie 值。下面的两个函数透明地添加令牌值
给 AJAX POST 请求。
第一个函数经过名字获取 cookie,
而第二个函数是一个添加_xsrf
参数到传递给 postJSON 函数数据对象的便捷函数。
function getCookie(name) {
var c = document.cookie.match("\\b" + name + "=([^;]*)\\b");
return c ? c[1] : undefined;
}
jQuery.postJSON = function(url, data, callback) {
data._xsrf = getCookie("_xsrf");
jQuery.ajax({
url: url,
data: jQuery.param(data),
dataType: "json",
type: "POST",
success: callback
});
}
这些预防措施须要思考不少,而 Tornado 的安全 cookies 支持和 XSRF 保护减轻了应
用开发者的一些负担。能够确定的是,内建的安全功能也很是有用,但在思考你应用的
安全性方面须要时刻保持警戒。有不少在线 Web 应用安全文献,其中一个更全面的实
践对策集合是 Mozilla 的安全编程指南。
用户验证:
在 须要认证用户才容许访问的处理函数上使用@tornado.web.authenticated能够在调用以前先验证用户是否已登录认证,若未登录,则跳 转到settings中设置的login_url(渲染登录页面),而且会附加上一个next参数,值为咱们当前想要访问的url
示例:欢迎回来¶
在这个例子中,咱们将只经过存储在安全cookie里的用户名标识一我的。当某人首次在某个浏览器(或cookie过时后)访问咱们的页面时,咱们展现一个登陆表单页面。表单做为到LoginHandler路由的POST请求被提交。post方法的主体调用set_secure_cookie()来存储username请求参数中提交的值。html
代码清单6-2中的Tornado应用展现了咱们本节要讨论的验证函数。LoginHandler类渲染登陆表单并设置cookie,而LogoutHandler类删除cookie。python
import tornado.httpserver
import tornado.ioloop
import tornado.web
import tornado.options
import os.path
from tornado.options import define, options
define("port", default=8000, help="run on the given port", type=int)
class BaseHandler(tornado.web.RequestHandler):
def get_current_user(self):
return self.get_secure_cookie("username")
class LoginHandler(BaseHandler):
def get(self):
self.render('login.html')
def post(self):
self.set_secure_cookie("username", self.get_argument("username"))
self.redirect("/")
class WelcomeHandler(BaseHandler):
@tornado.web.authenticated
def get(self):
self.render('index.html', user=self.current_user)
class LogoutHandler(BaseHandler):
def get(self):
if (self.get_argument("logout", None)):
self.clear_cookie("username")
self.redirect("/")
if __name__ == "__main__":
tornado.options.parse_command_line()
settings = {
"template_path": os.path.join(os.path.dirname(__file__), "templates"),
"cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
"xsrf_cookies": True,
"login_url": "/login"
}
application = tornado.web.Application([
(r'/', WelcomeHandler),
(r'/login', LoginHandler),
(r'/logout', LogoutHandler)
], **settings)
http_server = tornado.httpserver.HTTPServer(application)
http_server.listen(options.port)
tornado.ioloop.IOLoop.instance().start()
代码清单6-3和6-4是应用templates/目录下的文件。web
代码清单6-3 登陆表单:login.html
<html>
<head>
<title>Please Log In</title>
</head>
<body>
<form action="/login" method="POST">
{% raw xsrf_form_html() %}
Username: <input type="text" name="username" />
<input type="submit" value="Log In" />
</form>
</body>
</html>
代码清单6-4 欢迎回客:index.html
<html>
<head>
<title>Welcome Back!</title>
</head>
<body>
<h1>Welcome back, {{ user }}</h1>
</body>
</html>
相关文章
- 1. 第六章:编写安全应用
- 2. Python Tornado轻松写一个Web应用
- 3. 学习tornado:安全
- 4. [译] 如何编写全栈 JavaScript 应用
- 5. 编写安全 PHP 应用程序的七个习惯
- 6. NTFS 安全一种应用--只写
- 7. Tornado-0二、编写第一个tornado程序
- 8. Tornado构建RESTful应用
- 9. Tornado 线程池应用
- 10. WebService编程详解之安全应用
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Maven Web 应用 - Maven教程
- • Composer 安装与使用
- • TiDB 在摩拜单车在线数据业务的应用和实践
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. Appium入门
- 2. Spring WebFlux 源码分析(2)-Netty 服务器启动服务流程 --TBD
- 3. wxpython入门第六步(高级组件)
- 4. CentOS7.5安装SVN和可视化管理工具iF.SVNAdmin
- 5. jedis 3.0.1中JedisPoolConfig对象缺少setMaxIdle、setMaxWaitMillis等方法,问题记录
- 6. 一步一图一代码,一定要让你真正彻底明白红黑树
- 7. 2018-04-12—(重点)源码角度分析Handler运行原理
- 8. Spring AOP源码详细解析
- 9. Spring Cloud(1)
- 10. python简单爬去油价信息发送到公众号
欢迎关注本站公众号,获取更多信息
