摘要:
同源策略和跨域Ajax 什么是同源策略 尽管浏览器的安全措施多种多样,但是要想黑掉一个Web应用,只要在浏览器的多种安全措施中找到某种措施的一个漏洞或者绕过一种安全措施的方法即可。浏览器的各种保安措施之间都试图保持相互独立,但是攻击者只要能在出错的地方注入少许JavaScript,所有安全控制几乎全 阅读全文
摘要:
Tornado框架-文件上传 第一、普通表单上传文件 self.request.files["fafafa"] 获取上传文件信息,参数["上传文件框的name名称"]['filename']获取上传文件的名称['body']获取上传文件的内容 框架引擎 html 第二、jquery的ajax上传文件 阅读全文
摘要:
Tornado框架-iframe标签框架伪造ajax html 阅读全文
摘要:
Tornado框架-CSRF防止跨站post请求伪造 CSRF是什么 CSRF是用来在post请求时做请求验证的,防止跨站post请求伪造 当用户访问一个表单页面时,会自动在表单添加一个隐藏的input标签,name="_xsrf",value="等于一个密串" 当用户post请求提交数据时,会将_ 阅读全文
摘要:
Tornado框架-生成验证码图片,以及验证码结合Session验证 第一、生成验证码图片 生成验证码图片需要两个必须模块 1、python自带的random(随机模块) 2、Pillow()图像处理模块里的PIL(图像库),为第三方模块,需要安装 封装验证码图片生成插件py 在封装文件里先导入ra 阅读全文
摘要:
Tornado框架-Session登录判断 Session需要结合cookie来实现 Session的理解 1、用户登录系统时,服务器端获取系统当前时间,进行nd5加密,得到加密后的密串 2、将密串作为一个字典的键,值为一个字典,也就是嵌套字典,键为密串的字典里保存用户信息 3、将这个密串当做coo 阅读全文
摘要:
Tornado框架-路由映射之二级域名支持,html模板继承以及导入 二级域名路由映射add_handlers()设置二级域名路由映射 注意:二级域名需要结合服务器ip绑定域名 框架引擎 逻辑处理 母板继承 母板继承就是访问的页面继承一个母板,将访问页面的内容引入到母板里指定的地方,组合成一个新页面 阅读全文
摘要:
Tornado框架-分页封装模块 框架引擎 封装分页类模块 写一个类来封装分页功能 __init__接收各种需要的参数 shu_ju_fan_wei()方法,返回的显示范围数据 xian_shi_ye_ma()方法,返回页码数据 逻辑处理 html 阅读全文
摘要:
Tornado框架-XSS处理,页码计算,页码显示 Tornado框架-XSS攻击过滤 注意:Tornado框架的模板语言,读取数据已经自动处理了XSS攻击,过滤转换了危险字符 如果要使危险字符可以远行,就需要在模板语言接收数据的地方{% raw 接收数据变量 %} raw写在模板语言里,用{% r 阅读全文
摘要:
xss脚本攻击介绍 Cross-Site Scripting(XSS)是一类出现在 web 应用程序上的安全弱点,攻击者可以通过 XSS 插入一 些代码,使得访问页面的其他用户都可以看到,XSS 通常是可以被看作漏洞的。它允许攻击者绕过安全机 制,通过尝试各种不同的方法插入恶意代码,攻击者可以得到敏 阅读全文