龙卷风安全问题

【问题标题】:Tornado security issue龙卷风安全问题
【发布时间】:2017-08-25 05:27:17
【问题描述】:

我是 python 框架 Tornado 的新手。我遇到了,它不支持会话,并且使用安全 cookie 完成身份验证。

但它到底有多安全?

我做了这个简单的事情来测试它。我登录到应用程序,使用 EditThisCookie 导出 cookie,然后注销。之后,我只是导入了 cookie,现在我已登录到应用程序。

我尝试了 2 个声称使用过龙卷风的应用程序,并且在两种情况下都得到了相同的结果。

这是预期的吗?还是有更好的方法来保护龙卷风应用程序?

我尝试使用来自 tornado 网站的 example 并发现同样的问题

【问题讨论】:

    标签: python security cookies tornado


    【解决方案1】:

    这是预期的行为。安全 cookie 是浏览器用来证明其已登录的令牌。如果您将 cookie 从浏览器移动到硬盘驱动器,然后将其重新导入浏览器,浏览器可以再次向 Tornado 应用程序证明它已登录。

    【讨论】:

    • 所以 Tornado 不会在用户注销时使 cookie 失效?
    • Tornado(以及绝大多数 Web 框架)的标准行为是,当用户注销时,Tornado 会告诉 浏览器 清除其 cookie。见clear_cookie。在最初的问题中,@dev_avatar 告诉他们的浏览器重新加载 cookie,因此它会再次登录。这通常是 cookie 身份验证的工作方式。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode