龙卷风安全问题
Tornado security issue
我是 python 框架 Tornado 的新手。我遇到过,它不支持会话,身份验证是使用安全 cookie 完成的。
但它到底有多安全?
我做了这个简单的事情来测试它。我登录到应用程序,使用 EditThisCookie 导出 cookie,然后注销。之后,我只是导入了 cookie,现在我已登录到应用程序中。
我用 2 个声称使用 tornado 完成的应用程序进行了尝试,并且在这两种情况下都得到了相同的结果。
这是意料之中的事吗?或者有更好的方法来保护龙卷风应用程序吗?
我尝试使用 tornado 网站上的 example 并发现了同样的问题
这是预期的行为。安全 cookie 是浏览器保留的用于证明其已登录的标记。如果您将 cookie 从浏览器移至硬盘驱动器,然后将其重新导入浏览器,浏览器可以再次向 Tornado 应用程序证明其已登录。
我是 python 框架 Tornado 的新手。我遇到过,它不支持会话,身份验证是使用安全 cookie 完成的。
但它到底有多安全?
我做了这个简单的事情来测试它。我登录到应用程序,使用 EditThisCookie 导出 cookie,然后注销。之后,我只是导入了 cookie,现在我已登录到应用程序中。
我用 2 个声称使用 tornado 完成的应用程序进行了尝试,并且在这两种情况下都得到了相同的结果。
这是意料之中的事吗?或者有更好的方法来保护龙卷风应用程序吗?
我尝试使用 tornado 网站上的 example 并发现了同样的问题
这是预期的行为。安全 cookie 是浏览器保留的用于证明其已登录的标记。如果您将 cookie 从浏览器移至硬盘驱动器,然后将其重新导入浏览器,浏览器可以再次向 Tornado 应用程序证明其已登录。