加密cookie

翻译: introduce to tornado

一曲冷凌霜 提交于 2019-12-03 23:55:01
编写加密的应用 很多时候,加密应用是一件非常繁琐的事情(也很让开发人员头疼).tornado 的web服务端设计之初已经考虑到了这些事情,内置了很多加密模块,让我们可以轻松地对容易出现问题的地方进行处理.一个可靠的 cookies 可以避免用户的状态被浏览器的恶意代码进行修改.此外浏览器的 cookies 还可以配合 http 请求的变量来避免一些伪造的跨站恶意攻击.在这一章节,我们将会了解到 tornado 的这些功能是如何防止攻击的,同时我们还会看到一个用户认证的例子和相关的功能. 危险的cookie 许多网页会使用浏览器的cookies来存储用户的身份标识与sessions信息.通过浏览器的sessions状态来确定用户的状态是非常简单且常用的手段,具有非常广泛的应用.不幸的是,浏览器的cookies非常容易被跨站攻击.这里会有一小段内容展示tornado是如何防止恶意脚本篡改你应用存储的cookies的. 伪造cookies 有许多途径可以截取到浏览器中的cookies信息,网页中的javascript和flash都有读写这个域中的cookies信息的权限.浏览器插件同样也可以通过程序去获取这些cookies信息.这些通过网页完成的脚本攻击,可以直接篡改用户浏览器中的cookies数据. 加密cookies tornado使用加密的签名验证cookies的值