码迷,mamicode.com
首页 > 其他好文 > 详细

Tornado 编写安全应用

时间:2014-09-06 17:15:33      阅读:334      评论:0      收藏:0      [点我收藏+]

标签:http   os   io   使用   java   ar   strong   for   文件   

Tornado Web服务器从设计之初就在安全方面有了很多考虑,使其能够更容易地防范那些常见的漏洞。安全 cookies 防止用户的本地状态被其浏览器中的恶意代码暗中修改。此外,浏览器cookies 可以与 HTTP 请求参数值作比较来防范跨站请求伪造攻击。
Cookie 漏洞:
许多网站使用浏览器 cookies 来存储浏览器会话间的用户标识。这是一个简单而又被广
泛兼容的方式来存储跨浏览器会话的持久状态。不幸的是,浏览器 cookies 容易受到一
些常见的攻击。
 
Cookie 伪造:有很多方式可以在浏览器中截获 cookies。JavaScript 和 Flash 对于它们所执行的页面
的域有读写 cookies 的权限。浏览器插件也可由编程方法访问这些数据。跨站脚本攻击
可以利用这些访问来修改访客浏览器中 cookies 的值。
 
安全 Cookies:Tornado 的安全 cookies 使用加密签名来验证 cookies 的值没有被服务器软件以外的任
何人修改过。因为一个恶意脚本并不知道安全密钥,所以它不能在应用不知情时修改
cookies。

使用安全 Cookies:Tornado 的 set_secure_cookie()和 get_secure_cookie()函数发送和取得浏览器
的 cookies,以防范浏览器中的恶意修改。为了使用这些函数,你必须在应用的构造函数(settings)中指定 cookie_secret (cookie的安全密钥)参数。

在 调用set_secure_cookie()写cookie时,会用settings中设置的cookie_secret安全密钥来对cookie进行签 名,当调用get_secure_cookie()时就会用cookie_secret安全密钥对取出的cookie值进行验证,若cookie时间戳汰 旧,或者签名与期望值不匹配则认为cookie已遭篡改,则get_secure_cookie()返回None,否则则返回cookie的值。
 
传递给 Application 构造函数的 cookie_secret 值应该是唯一的随机字符串。在 Python shell
下执行下面的代码片段将产生一个你自己的值:
>>> import base64, uuid
>>> base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes)
‘bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=‘
然而,Tornado 的安全 cookies 仍然容易被窃听。攻击者可能会通过脚本或浏览器插件
截获 cookies,或者干脆窃听未加密的网络数据。记住 cookie 值是签名的而不是加密的。
恶意程序能够读取已存储的 cookies,并且可以传输他们的数据到任意服务器,或者通
过发送没有修改的数据给应用伪造请求。因此,避免在浏览器 cookie 中存储敏感的用
户数据是非常重要的。
我们还需要注意用户可能修改他自己的 cookies 的可能性,这会导致提权攻击。比如,
如果我们在 cookie 中存储了用户已付费的文章剩余的浏览数,我们希望防止用户自己
更新其中的数值来获取免费的内容。httponly 和 secure 属性可以帮助我们防范这种
攻击。
 
HTTP-Only 和 SSL Cookies
Tornado 的 cookie 功能依附于 Python 内建的 Cookie 模块。因此,我们可以利用它所
提供的一些安全功能。这些安全属性是 HTTP cookie 规范的一部分,并在它可能是如
何暴露其值给它连接的服务器和它运行的脚本方面给予浏览器指导。比如,我们可以通
过只允许 SSL 连接的方式减少 cookie 值在网络中被截获的可能性。我们也可以让浏览
器对 JavaScript 隐藏 cookie 值。
为 cookie 设置 secure 属性来指示浏览器只通过 SSL 连接传递 cookie。(这可能会产
生一些困扰,但这不是 Tornado 的安全 cookies,更精确的说那种方法应该被称为签名
cookies。)从 Python 2.6 版本开始,Cookie 对象还提供了一个 httponly 属性。包括
这个属性指示浏览器对于 JavaScript 不可访问 cookie,这可以防范来自读取 cookie 值
的跨站脚本攻击。
为了开启这些功能,你可以向 set_cookie 和 set_secure_cookie 方法传递关键字参
数。比如,一个安全的 HTTP-only cookie(不是 Tornado 的签名 cookie)可以调用
self.set_cookie(‘foo‘, ‘bar‘, httponly=True, secure=True)发送。
 
请求漏洞
任何 Web 应用所面临的一个主要安全漏洞是跨站请求伪造,通常被简写为 CSRF 或
XSRF,发音为"sea surf"。这个漏洞利用了浏览器的一个允许恶意攻击者在受害者网站
注入脚本使未授权请求代表一个已登录用户的安全漏洞。让我们看一个例子。
 
防范请求伪造:
有很多预防措施可以防止这种类型的攻击。首先你在开发应用时需要深谋远虑。任何会
产生副作用的 HTTP 请求,比如点击购买按钮、编辑账户设置、改变密码或删除文档,
都应该使用 HTTP POST 方法。无论如何,这是良好的 RESTful 做法,但它也有额外的
优势用于防范像我们刚才看到的恶意图像那样琐碎的 XSRF 攻击。但是,这并不足够:
一个恶意站点可能会通过其他手段, HTML 表单或 XMLHTTPRequest API 来向你的应用发送 POST 请求。保护 POST 请求需要额外的策略。
 
为了防范伪造 POST 请求,我们会要求每个请求包括一个参数值作为令牌来匹配存储在
cookie 中的对应值。我们的应用将通过一个 cookie 头和一个隐藏的 HTML 表单元素向
页面提供令牌。当一个合法页面的表单被提交时,它将包括表单值和已存储的 cookie。
如果两者匹配,我们的应用认定请求有效。
由于第三方站点没有访问 cookie 数据的权限,他们将不能在请求中包含令牌 cookie。
这有效地防止了不可信网站发送未授权的请求。正如我们看到的,Tornado 同样会让这
个实现变得简单。
 
使用 Tornado 的 XSRF 保护
你可以通过在应用的构造函数中包含 xsrf_cookies 参数来开启 XSRF 保护:
settings = {
"cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
"xsrf_cookies": True
}
application = tornado.web.Application([
(r‘/‘, MainHandler),
(r‘/purchase‘, PurchaseHandler),
], **settings)
当这个应用标识被设置时,
Tornado 将拒绝请求参数中不包含正确的_xsrf 值的 POST、
PUT 和 DELETE 请求。Tornado 将会在幕后处理_xsrf cookies,但你必须在你的 HTML
表单中包含 XSRF 令牌以确保授权合法请求。要做到这一点,只需要在你的模板中包含
一个 xsrf_form_html 调用即可:
<form action="/purchase" method="POST">
{% raw xsrf_form_html() %}
<input type="text" name="title" />
<input type="text" name="quantity" />
<input type="submit" value="Check Out" />
</form>
 
开 启了XSRF防护后,Tornado对所有的POST请求默认是不信任的,所以当提交post表单是必须包含一个token,{% raw xsrf_form_html() %}这个标签会获取cookie中的_xsrf的cookie值,并且在html标签中包含cookie的头信息,及用hidden表单提交token值 到服务器,服务器用这个token值与cookie中存储的对应值做比较,若匹配则说明post请求是可信任的,否则则不可信任。
 
XSRF 令牌和 AJAX 请求
AJAX 请求也需要一个_xsrf 参数,
但不是必须显式地在渲染页面时包含一个_xsrf 值,
而是通过脚本在客户端查询浏览器获得 cookie 值。下面的两个函数透明地添加令牌值
给 AJAX POST 请求。
第一个函数通过名字获取 cookie,
而第二个函数是一个添加_xsrf
参数到传递给 postJSON 函数数据对象的便捷函数。
function getCookie(name) {
var c = document.cookie.match("\\b" + name + "=([^;]*)\\b");
return c ? c[1] : undefined;
}
jQuery.postJSON = function(url, data, callback) {
data._xsrf = getCookie("_xsrf");
jQuery.ajax({
url: url,
data: jQuery.param(data),
dataType: "json",
type: "POST",
success: callback
});
}
这些预防措施需要思考很多,而 Tornado 的安全 cookies 支持和 XSRF 保护减轻了应
用开发者的一些负担。可以肯定的是,内建的安全功能也非常有用,但在思考你应用的
安全性方面需要时刻保持警惕。有很多在线 Web 应用安全文献,其中一个更全面的实
践对策集合是 Mozilla 的安全编程指南。
 
用户验证:
在 需要认证用户才允许访问的处理函数上使用@tornado.web.authenticated可以在调用之前先验证用户是否已登陆认证,若未登陆,则跳 转到settings中设置的login_url(渲染登陆页面),并且会附加上一个next参数,值为我们当前想要访问的url

示例:欢迎回来

在这个例子中,我们将只通过存储在安全cookie里的用户名标识一个人。当某人首次在某个浏览器(或cookie过期后)访问我们的页面时,我们展示一个登录表单页面。表单作为到LoginHandler路由的POST请求被提交。post方法的主体调用set_secure_cookie()来存储username请求参数中提交的值。

代码清单6-2中的Tornado应用展示了我们本节要讨论的验证函数。LoginHandler类渲染登录表单并设置cookie,而LogoutHandler类删除cookie。

import tornado.httpserver
import tornado.ioloop
import tornado.web
import tornado.options
import os.path

from tornado.options import define, options
define("port", default=8000, help="run on the given port", type=int)

class BaseHandler(tornado.web.RequestHandler):
    def get_current_user(self):
        return self.get_secure_cookie("username")

class LoginHandler(BaseHandler):
    def get(self):
        self.render(‘login.html‘)

    def post(self):
        self.set_secure_cookie("username", self.get_argument("username"))
        self.redirect("/")

class WelcomeHandler(BaseHandler):
    @tornado.web.authenticated
    def get(self):
        self.render(‘index.html‘, user=self.current_user)

class LogoutHandler(BaseHandler):
    def get(self):
    if (self.get_argument("logout", None)):
        self.clear_cookie("username")
        self.redirect("/")

if __name__ == "__main__":
    tornado.options.parse_command_line()

    settings = {
        "template_path": os.path.join(os.path.dirname(__file__), "templates"),
        "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
        "xsrf_cookies": True,
        "login_url": "/login"
    }

    application = tornado.web.Application([
        (r‘/‘, WelcomeHandler),
        (r‘/login‘, LoginHandler),
        (r‘/logout‘, LogoutHandler)
    ], **settings)

    http_server = tornado.httpserver.HTTPServer(application)
    http_server.listen(options.port)
    tornado.ioloop.IOLoop.instance().start()

代码清单6-3和6-4是应用templates/目录下的文件。

代码清单6-3 登录表单:login.html
<html>
    <head>
        <title>Please Log In</title>
    </head>

    <body>
        <form action="/login" method="POST">
            {% raw xsrf_form_html() %}
            Username: <input type="text" name="username" />
            <input type="submit" value="Log In" />
        </form>
    </body>
</html>
代码清单6-4 欢迎回客:index.html
<html>
    <head>
        <title>Welcome Back!</title>
    </head>
    <body>
        <h1>Welcome back, {{ user }}</h1>
    </body>
</html>

Tornado 编写安全应用

标签:http   os   io   使用   java   ar   strong   for   文件   

原文地址:http://www.cnblogs.com/wuxinqiu/p/3959513.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!