Tornado Web 防止XSS攻击,即对变量进行特殊字符过滤
网站开发使用Tornado作为服务器,本以为其自带的对数据库进行处理的方法(insert,update)等会自动对异常字符进行检测,便没有人工进行异常字符过滤。
之后甲方请了专业的公司对网站进行了安全评估,发现大部分的input标签都可以发起XSS攻击,即在input中输入<script>alert(1);</script>,存进数据库之后再取出将会调用这段javascript代码,有着很大的安全隐患。因此需对插入数据库的变量进行字符检测。
在将数据插入数据库之前,先进行字符替换。即先重写一个get_escaped_argument方法,调用tornado自带的xhtml_escape方法将以下这些字符进行转义
_XHTML_ESCAPE_DICT = {'&': '&', '<': '<', '>': '>', '"': '"', '\'': '''}
def escape_string(self, s): return tornado.escape.xhtml_escape(s) def get_escaped_argument(self, key, default = None): if default is not None: return self.escape_string(self.get_argument(key, default)) else: return self.escape_string(self.get_argument(key))
然后在写rest接口时,调用以上的方法,就可将所有异常字符进行处理,避免了执行script脚本的问题。
@Route(r"/rest/mgr/group/add") class _(MgrHandler): @coroutinedef post(self): group_id = self.get_escaped_argument('group_id','')
从数据库中取数据时,input里面的数据显示的是替换后的字符,因此重写了jQuery,在val显示之前先进行字符的替换。
val: function(e) { var n, r, i, o = this[0]; { if (typeof e == 'string') { e = e.replace(/</g, "<"); e = e.replace(/>/g, ">"); e = e.replace(/"/g, '"'); e = e.replace(/'/g, "'"); } if (arguments.length) return i = x.isFunction(e), this.each(function(n) { var o; 1 === this.nodeType && (o = i ? e.call(this, n, x(this).val()) : e, null == o ? o = "" : "number" == typeof o ? o += "" : x.isArray(o) && (o = x.map(o, function(e) { return null == e ? "" : e + "" })), r = x.valHooks[this.type] || x.valHooks[this.nodeName.toLowerCase()], r && "set" in r && r.set(this, o, "value") !== t || (this.value = o)) }); if (o) return r = x.valHooks[o.type] || x.valHooks[o.nodeName.toLowerCase()], r && "get" in r && (n = r.get(o, "value")) !== t ? n : (n = o.value, "string" == typeof n ? n.replace(V, "") : null == n ? "" : n) } } })
同时可参考 http://demo.pythoner.com/itt2zh/ch6.html ,里面有更为详细的tornado安全应用开发。
