应用安全

普通cookie

一般我们的用户表中都有啥呢

你在购物的时候,加入购物车,让你登录,那你登录之后,他怎么知道你登录了呢

token 这个值是随机的,存在cookie里面

设置
  • 原型: 设置cookie 的方法
    1
    2
    3
    4
    5
    6
    7
    8
    9
    def set_cookie(
    self,
    name: str,
    value: Union[str, bytes],
    domain: str = None,
    expires: Union[float, Tuple, datetime.datetime] = None,
    path: str = "/",
    expires_days: int = None,
    **kwargs: Any) -> None:
  • 参数
    • name:我们设置的cookie的名字
    • value:cookie的值
    • domain:提交cookie时匹配的域名,也就是哪个ip拿过来的
    • path:提交cookie时匹配的路径
    • expires:设置cookie的有效期,可以是时间磋整数,时间元组,datetime类型,为UTC时间
    • expires_days:设置cookie的有效期(天数)但是他的优先级低于expires
  • 实例:
原理

设置cookie实际上是通过设置headerSet-Cookie来实现的

获取

我们设置完了就要获取,为什么要获取呢,因为以后我们在发送请求就要携带着这个cookie了

  • 原型:
    1
    def get_cookie(self, name: str, default: str = None) -> Optional[str]:
  • 参数:
    • name:要获取的cookie 的名称
    • default:如果名为name的获取的cookie不存在,就走这个默认值了
  • 示例:
1
2
3
4
cookie = self.get_cookie("suck","未登录")
print(cookie)
self.write("getcookie page info tornado!")
self.write(cookie)
清除
  • 原型:
1
def clear_cookie(self, name: str, path: str = "/", domain: str = None) -> None:
  • 作用:
    • 删除名为namecookie,并同时匹配domainpathcookie
    • 哟时候有可能这个name相同啊,那这个时候就得用path和domain来匹配一下了
  • 注意:
    • 执行cookie删除后,并不是直接就删除了,
    • 而是给cookie设置内容为null空,并删除延迟时间,
    • 真正删除是浏览器自己清理的,浏览器发现他没有用的话就给他删掉了,就看浏览器的了
  • 还有一个原型:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    def clear_all_cookies(self, path: str = "/", domain: str = None) -> None:
    ```
    - 作用:删除同时匹配path和domain的所有cookie
    - 示例:
    ```python
    # 清除cookie
    class ClearPCookieHandler(RequestHandler):
    def get(self):
    # 这个删除cookie后,他这次不能决定
    # 是下一次删除了
    # 清除一个cookie
    self.clear_cookie("suck")
    # 清除所有cookie
    self.clear_all_cookies()
    self.write("ClearPCookieHandler page info tornado!")
    安全cookie
    概述:
    cookie是存储在客户端浏览器的数据,很容易被篡改,不是很安全

tornado提供了一种对于cookie简易的加密的方法,来防止cookie被恶意篡改

设置:
  • 需要为应用配置的进行混淆加密的秘钥
  • 生成一个秘钥:
    我们需要用到一个库base64,你需要知道的就是他是加密的就行了,是一个唯一的标识,其他的你就不用管了,因为其他的你想管你也管不着了
    md5 现在已经不安全了,现在有一些网站已经能够在线破解md5了

我们在python控制台输入如下代码,即可生成一个uuid

1
2
base64.b64encode(uuid.uuid4().bytes+uuid.uuid4().bytes)
b'j94bbx0zSY6yYkCgawwJ1bzyM4jzDUuKtLyPC/MMmZA='

我们需要在配置文件config.py中进行配置
内容如下

1
2
3
4
5
6
7
8
9
10
settings = {
# 这写key的名字可不是随便起的奥,是写好的,
# 就像upfile就没有,你写了也白扯
'template_path': os.path.join(BASE_DIR, "templates"),
'static_path': os.path.join(BASE_DIR, "static"),
"debug": True,
# "autoreload" : True
"cookie_secret":"j94bbx0zSY6yYkCgawwJ1bzyM4jzDUuKtLyPC/MMmZA=",
# 这个据说一百亿年才能,用完
}

然后给你看一个方法,他的原型如下

1
2
3
4
5
6
7
8
def set_secure_cookie(
self,
name: str,
value: Union[str, bytes],
expires_days: int = 30,
version: int = None,
**kwargs: Any
) -> None:

作用:设置一个带有签名和时间戳的cookie,防止cookie被伪造

实际上是这样写的

1
2
3
4
5
# 安全cookie
class SCookieHandler(RequestHandler):
def get(self):
self.set_secure_cookie("victor","nice")
self.write("SCookieHandler page info tornado!")

然后我们在浏览器中查看一下cookie的值

1
2
3
Set-Cookie: victor="2|1:0|10:1575853257|6:victor|8:bmljZQ
==|ac4c19c8598fc7c7d07c1484f07a0cc8e1a1adb022d084bcc3d3d4
75129fab63"; expires=Wed, 08 Jan 2020 01:00:57 GMT; Path=/

现在这个值,你看不出来内容是啥了
说明:

  • 安全cookie版本,默认使用2
  • 默认为0
  • 时间戳
  • cookie名
  • base64cookie编码的值
  • 签名值(不带长度说明)
    获取:
    直接就把原型往这里一扔
    1
    2
    3
    4
    5
    6
    7
    def get_secure_cookie(
    self,
    name: str,
    value: str = None,
    max_age_days: int = 31,
    min_version: int = None,
    ) -> Optional[bytes]:
    然后我这么写
    1
    2
    3
    4
    5
    6
    7
    # 获取安全cookie
    class GetSCookieHandler(RequestHandler):
    def get(self):
    sc = self.get_secure_cookie("victor")
    print(sc)
    self.write("getSCookieHandler page info tornado!")
    self.write(sc)
    如果cookie验证通过,就会返回这个cookie的值,否则返回None

max_age_days不同于expries_days设置的浏览器中cookie的有效时间
而max_age_days是过滤安全cookie的时间戳,默认是31天

注意:
  • 这个安全cookie,也不是绝对安全的,只是一定程度上增加了破解的难度
  • 以后cookie中不要存储一些敏感性的数据

XSRF

跨站请求伪造代码

示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

# cookie计数
class CookieNumHandler(RequestHandler):
def get(self):

count = self.get_cookie("count",None)
if count:
# 第n次访问
count = str(int(count)+1)
pass
else:
# 第一次访问
# 设置cookie
count = '0'
self.set_cookie("count",count)

self.render("cookienum.html",count = count)

页面是这个样子的:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>搞事情</title>
</head>
<body>
<h1>第{ { count } }次访问</h1>
<p>搞事情网站,我就看看能不能搞坏!!!</p>
<div>
<img src="http://127.0.0.1:8080/cookienum" alt="">
</div>
</body>
</html>

当我们访问搞事情网站的时候,当我们不知情的时候,未授权的情况下,cookie计数器网站中的cookie被使用,导致cookie计数器网站认为是他自己调用了Handler逻辑

上一个程序使用的是GET方式模拟的攻击,为了防止这种攻击,一般对于相对安全的操作一般不放在GET请求中.

我们常常使用的是POST请求

XSRF保护

同源:同域名同协议同端口
只有同源才让他能访问

开启保护

在配置中添加

1
"xsrf_cookies":True

然后在这里别忘了也整一下

1
2
3
4
5
6
7
8
9
10
super(Application, self).__init__(
handlers,
# 模板路径
template_path=settings["template_path"],
# 静态路径
static_path=settings["static_path"],
# cookie签名
cookie_secret=settings["cookie_secret"],
xsrf_cookies=settings["xsrf_cookies"],
)

现在保护一开,谁都别想访问了
那我们还要干什么?
我们怎么才能让我们自身的能够进行访问啊

附加

配置文件中的键和值不用一个一个写,直接就**打散就OK了

1
2
3
4
5
# 是不是傻了,这里直接就** 就行了
super(Application, self).__init__(
handlers,**settings
)

应用

在模板中应用
在form表单中加上这么一句话,模板里面就能用了
1
{ % module xsrf_form_html() % }
完整的就这样了
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Post page</title>
</head>
<body>
<form action="/postfile" method="post">
{ % module xsrf_form_html() % }
姓名:<input type="text" name="username">
<hr/>
密码:<input type="password" name="password">
<hr/>
<input type="submit" value="登录">
</form>
</body>
</html>
作用:
  • 为浏览器设置了_xsrf的安全cookie,这个cookie在关闭浏览器后就失效了
  • 为模板添加了一个隐藏的输出,隐藏域,名为_xsrf,值为_xsrf这个cookie的值
  • 表单中的一个隐藏域,名为…值为…,但是还是不绝对安全
    在非模板中应用
手动设置_xsrf的cookie
1
2
3
4
5
6
'''设置XsrfCookieHandler'''
class SetXsrfCookieHandler(RequestHandler):
def get(self):
# 设置一个_xsrf的cookie
self.xsrf_token
self.finish("OK")
第一种
  • 我们可以不在页面中写那一行代码 而是写一个script的JS代码,其中实现手动的添加一个隐藏input
  • 手动创建input,并设置name的属性值为_xsrf,value的属性值为名为_xsrf的cookie的值
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Post page</title>
</head>
<body>
<form action="/postfile" method="post">
<input id="hi" type="hidden" name="_xsrf" value="">
姓名:<input type="text" name="username">
<hr/>
密码:<input type="password" name="password">
<hr/>
<input type="submit" value="登录">
</form>
<script>
function getCookie(name) {
// 这里写的就不用管他是啥意思了
var cook = document.cookie.match("\\b" + name + "=([^;]*)\\b");
// 我们要返回的是cookie,不是cook
// 如果有,那我就拿他的第一个值,就是这个cookie值
return cook ? cook[1] : undefined
}
// 获取cookie
gc = getCookie("_xsrf");
console.log(gc);
document.getElementById("hi").value = gc;
</script>
</body>

</html>
第二种

发起ajax请求:
我们把这个表单去掉,然后在js中点击这个按钮就发起ajax请求
我们没有学过原生的ajax吧!那么就需要借助jQuery了吧!

具体代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Post page</title>
<!-- 导入jQuery-->
<script type="text/javascript" charset="utf-8" src="{{static_url('js/jquery.min.js')}}"></script>
</head>
<body>

<input id="hi" type="hidden" name="_xsrf" value="">
姓名:<input type="text" name="username">
<hr/>
密码:<input type="password" name="password">
<hr/>
<input type="submit" value="登录">
<button id="btn" onclick="login()">登录</button>
<script>
function getCookie(name) {
// 这里写的就不用管他是啥意思了
var cook = document.cookie.match("\\b" + name + "=([^;]*)\\b");
// 我们要返回的是cookie,不是cook
// 如果有,那我就拿他的第一个值,就是这个cookie值
return cook ? cook[1] : undefined
}

function login() {
// 发起ajax请求我们有很多种方式
// 发起post请求我们有两种方式,一种是这个
$.post("/postfile",
"_xsrf=" + getCookie("_xsrf") + "&username=" + "victor" + "&passwd=" + "123456",
// 请求成功后的回调函数
function (data) {
alert("ok\\(^o^)/~");
alert(data);
}
);
// TODO 其实这里要通过DOM元素获取username,和passwd的值的,
// TODO 因为这里不是作为重点就写了
/**
* 这里主要是要带着这个xsrf防护,不然这个是不能给你响应的
*/
}
</script>
</body>

</html>
第三种

其实这种才是最常用的方式,这个$.post仅仅只能发起post请求,所携带的参数或者说对于他的控制是比较少的
$.ajax才是最NB的方式

来吧!直接就上代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Post page</title>
<!-- 导入jQuery-->
<script type="text/javascript" charset="utf-8" src="{{static_url('js/jquery.min.js')}}"></script>
</head>
<body>

<input id="hi" type="hidden" name="_xsrf" value="">
姓名:<input type="text" name="username">
<hr/>
密码:<input type="password" name="password">
<hr/>
<input type="submit" value="登录">
<button id="btn" onclick="login()">登录</button>
<script>
function getCookie(name) {
// 这里写的就不用管他是啥意思了
var cook = document.cookie.match("\\b" + name + "=([^;]*)\\b");
// 我们要返回的是cookie,不是cook
// 如果有,那我就拿他的第一个值,就是这个cookie值
return cook ? cook[1] : undefined
}

function login() {
// TODO 这块还是那么回事,数据可以通过DOM来动态获取
data = {
"username": "victor",
"passwd": "123456",
};
// 我们需要把我们的数据给他变成一个字符串
// 这个方法是JS中的东西,不是python,jQuery的
var data_str = JSON.stringify(data);
// 这个ajax怎么写呢?,他里面就一个参数,就是一个字典
$.ajax({
url: "/postfile",
// 这个请求方式你写啥,他就是啥,他都能发
method: "POST",
data: data_str,
// 你看吧这个字典中的一个键里面对应的值是函数,
// 虽然外面就一个字典类型的参数,但是回调函数还是有的
success: function () {
alert("ok!!!")
},
// 到这里绝壁是不能成功的,因为我这个_xsrf都没写怎么能成功呢
// 如果想发起请求,我们还需要添加一个headers,也就是请求头
headers:{
// 来这个跟着写就对了
// 这个值就设置成之前那个cookie值就行了
"X-XSRFToken": getCookie("_xsrf"),
},
})
// 以后发起ajax请求,建议使用这个,功能更加强大

}
</script>
</body>

</html>
问题

其实帅的人是不会用第一种方式写的

需要手动设置token
解决:其实一般我们进入一个网站的时候,通常是不是都先进入主页啊,你进入主页的时候就把这个xsrf写进去了

首先我们添加一个进入主页的静态默认页面

1
2
3
4
5
6
7
8
9
10
11
(
r"/(.*)$",
# 系统这个我们不能用,所以我们继承,
# tornado.web.StaticFileHandler,
# 让我们自己写这个继承自系统给我们这个
index.MyStaticFileHandler,
{
"path": os.path.join(BASE_DIR, "static/html"),
"default_filename": "index.html"
}
),

然后重写StaticFileHandler

1
2
3
4
5
6
7
8
from tornado.web import StaticFileHandler

# 设置静态默认
class MyStaticFileHandler(StaticFileHandler):
# 我们用他的时候只需要重写他的init就可以了
def __init__(self,*args,**kwargs):
super(MyStaticFileHandler,self).__init__(*args,**kwargs)
self.xsrf_token
补充
  • _xsrf 加一个下划线,我们把他看成是私有的
  • __xsrf就真的是私有的了

    用户验证

    概念

    在收到用户请求后,进行一个预先判断用户的认证状态(是否登录),若验证通过正常处理,否则进入登录界面去,滚去登录

tornado.web.authenticate 装饰器

tornado将确保这个方法的主体(他修饰的东西)只有合法的用户才能调用

get_current_user

我们自己定义一个方法get_current_user()
功能:验证用户的逻辑,应该写在该方法中,
如果该方法返回的为True说明验证成功,否则验证失败
验证失败:访客重定向到配置中的所制定的路由(登录界面)
需要在配置文件config.py中写上配置的位置,因为你不一定要跳转到登录界面吧!

1
"login_url":"/login",

这样你要是没登录,他就给你踢到那个页面中了

然后直接就上代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
'''首先 路由是这样的 '''
# 登录界面
tornado.web.url(r"/login", index.LoginHandler,name='login'),
# home页面
(r"/home", index.HomeHandler),
# 一个无名的普通页面,用于测试的
(r"/cart", index.CartHandler),

(
r"/(.*)$",
# 系统这个我们不能用,所以我们继承,
# tornado.web.StaticFileHandler,
# 让我们自己写这个继承自系统给我们这个
index.MyStaticFileHandler,
{
"path": os.path.join(BASE_DIR, "static/html"),
"default_filename": "index.html"
}
),
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
'''登录页面'''
class LoginHandler(RequestHandler):
def get(self):
# 进入登录我就要知道我是从哪里进的了
next = self.get_argument("next","/")
url = "login" + "?next=" + next
self.render("login.html", url=url)

def post(self):
'''
咱也不用管是get还是post了
name = self.get_body_argument("username")
passwd = self.get_body_argument("passwd")
'''
# 直接我就写
name = self.get_argument("username")
passwd = self.get_argument("passwd")
# TODO 这里还是把账号和密码写死了
if name == "victor" and passwd == "123456":
# 这个玩意代表从哪个页面跳来的,处理完了
# 要是没毛病,我还得给你发到那里去
next = self.get_argument("next", "/")
# 后面"/"是默认值
# 重定向走你,但是光重定向不行
# 我们还得加一个标记
self.redirect(next + "?flag=logined")
else:
next = self.get_argument("next", "/")
'''
# 验证失败了,
# 路由的反向解析,听着挺高大上的
# 密码输入错误,好几次也得记着人家是从哪里过来的
'''
log = self.reverse_url("login")+"?next="+next
# 我还是得重定向
self.redirect(log)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
''' 这个是主页面 '''
class HomeHandler(RequestHandler):
def get_current_user(self):
'''
# 返回True代表验证成功,否则凉凉
# return False
# 然后我们这里就能通过之前的flag来判断了
# 这里还要设置一个默认值否则就是
# WARNING:tornado.general:400 GET /home (127.0.0.1):
Missing argument flag
'''
flag = self.get_argument("flag", None)
# 如果能取到flag,就返回true
# 要是娶不到,自然就返回False
return flag

@tornado.web.authenticated
def get(self):
self.render("home.html")
1
2
3
4
5
6
7
8
''' 这个cart是一个普通的页面'''
class CartHandler(RequestHandler):
def get_current_user(self):
return self.get_argument("flag", None)

@tornado.web.authenticated
def get(self):
self.render("cart.html")