如何防止用戶直接訪問我的html頁面

Question

我有一個登錄頁面，它向Python腳本發送請求以對用戶進行身份驗證。如果未通過身份驗證，則會將您重定向到登錄頁面。如果它將您重定向到HTML表單。問題是您可以通過編寫URL來訪問HTML表單。我怎樣才能確保用戶來自我的Python腳本的登錄表單而不使用模塊，因爲我無法在我的服務器中安裝任何東西。我希望它嚴格使用Python我無法使用PHP。可能嗎？我可以使用其他方法來完成任務嗎？

Answer 1

很明顯，你只是想使用Python，沒有框架等......所以問題是你實際上是重定向到一個現有的Web頁面。不要這樣做，而是用Python本身提供HTML。

# pages.py 
class DefaultPage(object): 
    def __init__(self): 
     self.html = ''' 
     All Your HTML Here 
     ''' 
    def self.display: 
     return self.html 

顯然你使用的東西，以滿足您的Python，我假設一些簡單的像谷歌應用程序引擎啓動，在這種情況下，你可以隨便寫的類。即使你使用其他一些簡單的WSGI，這個概念仍然是一樣的。

# main.py 
import webapp2 
from pages import DefaultPage 
class MainHandler(webapp2.RequestHandler): 
    def get(self): 
     page = DefaultPage() 
     self.response.write(page.display()) 

app = webapp2.WSGIApplication([ 
    ('/', MainHandler) 
], debug=True) 

Answer 2

請確保在Python中檢查「referer」標頭，並驗證地址是您的登錄頁面。

Answer 3

處理用戶登錄的最佳方法是將令牌用作cookie。
用戶成功登錄後生成一個令牌並將其發送給他們，將此令牌保存到「內存」數據庫（如果您使用的是類似django服務器的服務器） - https://docs.djangoproject.com/en/1.9/intro/tutorial01/，它會爲您提供。
每次用戶訪問您網站中的任何內部頁面時，請檢查已作爲Cookie標頭髮送的用戶令牌，如果在您的數據庫中找到，則將其指向請求的頁面，否則，請將其指向登錄頁面。
如果您提供有關服務器的更多詳細信息（服務器類型），我可以爲您提供更多幫助

Answer 4

您剛剛要求的內容稱爲會話管理。這裏是關於它的OWASP指南：https://www.owasp.org/index.php/Session_Management

你可以使用像Django這樣的框架，它已經提供了這個安全層。 https://docs.djangoproject.com/en/1.9/topics/http/sessions/

Answer 5

您必須添加CSRF保護到禁止形式從不受信任來源提交。潛水What is a CSRF token ? What is its importance and how does it work?問題了解它是如何工作的，你也可以看看How does a CSRF token prevent an attack。

您可以實現自己的csrf保護邏輯或使用現有的邏輯，如Django CSRF或Flask CSRF Protection等（取決於您項目中使用的技術）。