跨站伪造请求的防范

最近在做一个网站的后端开发。因为初期只有我一个人做，所以技术选择上很自由。在 web 服务器上我选择了 Tornado 。虽然曾经也读过它的源码，并做过一些小的 demo，但毕竟这是第一次在工作中使用，难免又发现了一些值得分享的东西。 首先想说的是它的安全性，这方面确实能让我感受到它的良苦用心。这主要可以分为两点： 防范 跨站伪造请求 （Cross-site request forgery，简称 CSRF 或 XSRF）。 CSRF 的意思简单来说就是，攻击者伪造真实用户来发送请求。 举例来说，假设某个银行网站有这样的 URL： http://bank.example.com/withdraw?amount=1000000&for=Eve 当这个银行网站的用户访问该 URL 时，就会给 Eve 这名用户一百万元。用户当然不会轻易地点击这个 URL，但是攻击者可以在其他网站上嵌入一张伪造的图片，将图片地址设为该 URL： < img src = "http://bank.example.com/withdraw?amount=1000000&for=Eve" > 那么当用户访问那个恶意网站时，浏览器就会对该 URL 发起一个 GET 请求，于是在用户毫不知情的情况下，一百万就被转走了。 要防范上述攻击很简单，不允许通过 GET 请求来执行更改操作（例如转账）即可