堆棧內存溢出
  簡體   English   中英

防止直接文件訪問龍卷風中的服務器文件

[英]Prevent direct file access to server files in tornado

 原文  2017-09-25 02:33:44       python/ tornado

問題描述

我在龍卷風網絡服務器上使用python。 該應用程序運行正常,但我找不到阻止用戶直接通過url訪問服務器文件的方法。 例如,我在服務器中有以下文件:

program.py
的index.html
main.html中

我想防止用戶直接通過網址訪問上述服務器文件
例如:localhost:8080 / program.py或/index.html

我只希望他們訪問localhost:8080 /或/ home

提前致謝 

from ws4py.client.tornadoclient import TornadoWebSocketClient
import tornado.ioloop
import tornado.web
import tornado.websocket
import tornado.template

SETTING_CLIENT_LISTEN_PORT = 8080
class MainHandler(tornado.web.RequestHandler):

    def get(self):
        try:
            loader = tornado.template.Loader(".")
            self.write(loader.load("index.html").generate())
        except Exception as e:
            print("exception occured", e)

class CWSHandler(tornado.websocket.WebSocketHandler):
    global  waiters

    def open(self):
        print('###FUNCTION CWSHandler.open(self) start')

    def on_close(self):
        print('###FUNCTION CWSHandler.open(self) close')

    def on_message(self, message):
        print('###FUNCTION CWSHandler.on_message msg:', message)

settings = {
    "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
    "login_url": "/",
}

application = tornado.web.Application(handlers=[
    (r'/', MainHandler),    
    (r'/cws', CWSHandler),


    (r"/(.*)", tornado.web.StaticFileHandler,{'path':'./'})
    ], cookie_secret="bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=")

if __name__ == "__main__":
    server = tornado.httpserver.HTTPServer(application)
    server.listen(SETTING_CLIENT_LISTEN_PORT)

    try:
        tornado.ioloop.IOLoop.instance().start()
        server.stop()
    except KeyboardInterrupt:
        print("Keyboard interupt")
        pass
    finally:
        server.stop()
        tornado.ioloop.IOLoop.instance().stop()

1 個解決方案

解決方案1
 2 已采納  2017-09-25 10:37:19

問題出在您的網址,特別是: 

(r"/(.*)", tornado.web.StaticFileHandler,{'path':'./'})

您已經將r'/(.*)'映射到{'path': './'} ,這是您的項目目錄。 因此,如果一個請求像localhost:8080/program.py一樣/(.*) ,它將與此- localhost:8080/program.py /(.*)匹配,然后龍卷風將在您的項目目錄中查找名為program.py的文件。 如果在此找到它,它將提供該文件。

您應該將所有靜態文件保存在項目目錄中一個單獨的目錄中,該目錄稱為static (盡管您可以命名為任意名稱)。 然后使用所需的URL映射此目錄。

例: 

(r"/(.*)", tornado.web.StaticFileHandler,{'path': 'static'})

或者更好的是,在/static/ url下而不是- .*下提供該目錄。 

(r"/static/(.*)", tornado.web.StaticFileHandler,{'path': 'static'})

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 防止直接訪問 Django 中的媒體文件 限制對python tornado Web服務器中某些文件,文件夾的訪問 我可以使用Django來阻止直接訪問圖像文件嗎? 使用 Python 連接 MQTT 客戶端時如何防止直接訪問證書文件 使用Tornado Web Server和Nginx上載多個文件 如何訪問鏈接到 tornado Web 服務器中使用的 html 的外部 css 文件? 下載龍卷風Web服務器提供的文件 使用ajaxupload將異步文件上載到龍卷風Web服務器 鏈接HTML Tornado服務器和Python文件的方法 限制僅在服務器上執行Python文件(防止從瀏覽器訪問)
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM