CSRF

csrf：跨站請求僞造(也能夠叫xsrf)，是用於限制 post 請求的。在tornado中的csrf。

csrf工做

第一次get請求訪問的時候，返回一個隨機字符串寫入cookie以及展示整個網頁的代碼。當你第二次發送post請求的時候，會帶上這個隨機字符串，而後後臺能夠獲取這個字符串，並左相應的操做。

生成的這段隨機字符串，能夠理解爲一個惟一身份證實。

tornado中的csrf

在tornado中使用csrf，首先要在配置文件settings中設置對應的選項：

當咱們不加這段的時候，咱們的請求無論是 get 仍是 post 和普通的沒區別。

當加上的時候，第一次 get 請求，而後再發送 post 請求。post請求會報錯。403 報錯。

form表單方式處理方法

雖然csrf會生成一段隨機字符串，但在tornado中這段字符串並不禁咱們本身設置，當在settings中配置了具體的選項後，它會自動幫咱們生成。那在表單提交中怎樣操做才能正常執行的流程？

在前端form代碼中加上這端代碼，執行訪問流程便可查看csrf自動生成的隨機字符串。

說明：

上面這個input框的value內容就是生成的隨機字符串。

從結果中看到生成的是一個input標籤，而且type爲hidden。這個標籤在瀏覽器中渲染的結果，是一個隱藏的input標籤。

咱們在頁面上正常使用：

瀏覽器頁面顯示：

查看開發者工具中頁面html標籤：

能夠清楚的看到html結構中有這段代碼，而後後臺就能夠經過對應的name=」_xsrf」獲取input標籤的value值。也就獲取到了這段隨機字符串。

AJAX方式處理方法

第一次get請求訪問頁面的時候，csrf生成的隨機字符串，不但寫入了form表單，在cookie中一樣也爲咱們寫入了一份。

當在settings中配置了xsrf後，利用js發送請求，結果也是會報錯。403報錯。

解決思路：

一、先經過cookie獲取生成的隨機字符串

二、post請求的時候，看成參數帶着過去。

關鍵點：就是首先的獲取隨機串，而後post請求的時候帶着這個隨機串去請求。