Torando源码解析之XSRF防护的实现
大家好,又见面了,我是你们的朋友全栈君。
Torando源码解析之XSRF防护的实现
Tornado开启XSRF防护的方法
http://tornado-zh.readthedocs.io/zh/latest/guide/security.html
核心代码如下 Tornado开启xsrf_cookies
settings = {
"cookie_secret": "__TODO:_GENERATE_YOUR_OWN_RANDOM_VALUE_HERE__",
"login_url": "/login",
"xsrf_cookies": True,
}
application = tornado.web.Application([
(r"/", MainHandler),
(r"/login", LoginHandler),
], **settings)HTML页面添加相关的代码
<form action="/new_message" method="post"> {% module xsrf_form_html() %} ...... </form>源码解析
在上述的代码中,很明显可以看出,所谓开启xsrf防护,其实就是在post提交的数据里面带上 {% module xsrf_form_html() %} 这段代码所包含的东西
xsrf_form_html()是什么
找到tornado的目录,然后再该目录下通过linux命令找到xsrf_form_html
grep xsrf_form_html -r *查看grep结果,找到相关代码如下
def xsrf_form_html(self):
return '<input type="hidden" name="_xsrf" value="' + \
escape.xhtml_escape(self.xsrf_token) + '"/>'发现所谓的 {% module xsrf_form_html() %}其实就是隐藏的一个
self.xsrf_token是什么
同样的方法找到xsrf_token
@property
def xsrf_token(self):
if not hasattr(self, "_xsrf_token"):
version, token, timestamp = self._get_raw_xsrf_token()
output_version = self.settings.get("xsrf_cookie_version", 2)
cookie_kwargs = self.settings.get("xsrf_cookie_kwargs", {})
if output_version == 1:
self._xsrf_token = binascii.b2a_hex(token)
elif output_version == 2:
mask = os.urandom(4)
self._xsrf_token = b"|".join([
b"2",
binascii.b2a_hex(mask),
binascii.b2a_hex(_websocket_mask(mask, token)),
utf8(str(int(timestamp)))])
else:
raise ValueError("unknown xsrf cookie version %d",
output_version)
if version is None:
expires_days = 30 if self.current_user else None
self.set_cookie("_xsrf", self._xsrf_token,
expires_days=expires_days,
**cookie_kwargs)
return self._xsrf_token其中,@property 是将该类函数设置成属性访问的装饰器 像第一次访问的时候,_xsrf_token这个值肯定是没有的 由代码可以看出token是其实就是self.xsrf_token的关键
def _get_raw_xsrf_token(self):
if not hasattr(self, '_raw_xsrf_token'):
cookie = self.get_cookie("_xsrf")
if cookie:
version, token, timestamp = self._decode_xsrf_token(cookie)
else:
version, token, timestamp = None, None, None
if token is None:
version = None
token = os.urandom(16)
timestamp = time.time()
self._raw_xsrf_token = (version, token, timestamp)
return self._raw_xsrf_token这里其实就很明显可以看出 如果是第一次生成token,那么
token = os.urandom(16)os.urandom(n) 是随机生成n个字节的函数 所以,token就是一个随机的16字节的串
如果不是第一次。那么会从cookie里面去获取token,并将这个token重新传回给前端
def _decode_xsrf_token(self, cookie):
try:
m = _signed_value_version_re.match(utf8(cookie))
if m:
version = int(m.group(1))
if version == 2:
_, mask, masked_token, timestamp = cookie.split("|")
mask = binascii.a2b_hex(utf8(mask))
token = _websocket_mask(
mask, binascii.a2b_hex(utf8(masked_token)))
timestamp = int(timestamp)
return version, token, timestamp
else:
raise Exception("Unknown xsrf cookie version")
else:
version = 1
try:
token = binascii.a2b_hex(utf8(cookie))
except (binascii.Error, TypeError):
token = utf8(cookie)
timestamp = int(time.time())
return (version, token, timestamp)
except Exception:
gen_log.debug("Uncaught exception in _decode_xsrf_token",
exc_info=True)
return None, None, None这个与前面的xsrf_token 函数相对应,因为在传给前端的时候token进行了”encode”,所以获取的时候需要“decode”下。 当然这里所谓的”encode”和”decode”,其实仅仅是将版本号和当前的时间戳以某种规则加在了返回的token两边。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/144705.html原文链接:https://javaforall.cn
相关文章
- React Context源码是怎么实现的呢
- 如何学习Android系统源码
- C语言实现List实现(附完整源码)[通俗易懂]
- React源码学习入门(一)新手如何学习React源码
- React源码学习入门(三)React源码codebase架构和调试介绍
- Django-REST-framework 权限管理源码分析
- 图书管理系统设计与实现(SpringBoot+MySQL+Html,附源码下载地址)
- C++ 实现线程安全的map(OpenHarmony源码实现版)
- call/apply/bind等源码实现
- spring源码详解(一)
- Elastic-Job2.1.5源码-作业高可用的失效转移功能实现原理动画
- 带你实现react源码的核心功能
- 国内网络编译,Ambari 2.7.6 全部模块源码编译笔记
- Mysql锁内部实现机制之C源码解析
- Spring Aop 源码实现原理分析详解编程语言
- MySQL源码剖析:系统实现原理一探究竟(mysql源码解析)
- 慢谈 Redis 实现分布式锁 以及 Redisson 源码解析
- 深入了解Linux Tree源码——解析底层架构与实现细节(linuxtree源码)
- 解读Linux下nc命令源码实现(linuxnc源码)
- asp.net中Post表单保存页面状态并输出源码的实现方法
- C语言借助EasyX实现的生命游戏源码