简约社区系统 Tornado-Minos

MPL
Python
跨平台
2015-05-10
nohtihp

Minos社区,一个基于Tornado/Mongodb/Redis的简约社区系统。

特点

  • 简单:去除传统社区中多数不常用到的功能,保留精华。(这里向 http://zone.wooyun.org 学习)

  • 高效:

    • mongodb:数据库设计合理,以空间换取时间,尽量减少数据库查询次数。

    • 异步:tornado+motor全异步库,增加web高并发访问效率

    • redis:抛弃php中以文件形式保存session的做法,以redis内存数据库保存session,增加速度。

  • 安全:

    • CSP:全站默认开启CSP,以新一代的前端安全策略防御前端安全问题(包括XSS/CSRF/Clickjacking等)。

    • Secure by default原则:使用默认的安全机制,所有业务逻辑问题为安全让步。不符合安全的业务都没有被加入Minos。tornado框架及其安全理念对Minos的安全有突出贡献。

    • 注入漏洞:tornado不允许嵌套解析,用户通过GET/POST传入的参数只是字符串,不会成为list或dict,所以正常情况下不会造成mongodb的注入。

    • 文件上传:python将不会去解析用户上传的任何文件。另外Minos在用户上传时仍然会检查后缀,为防止XSS。

    • XSS漏洞:Tornado框架原则上所有输出在模板里的变量都会经过“HTML实体化”,包括单引号,一般情况下不会存在XSS漏洞。另外,社区帖子内容为富文本,将经过富文本过滤器Python-XSS-Filter( https://github.com/phith0n/python-xss-filter )过滤并输出。

    • CSRF漏洞:Tornado框架在开启xsrf_cookies后,所有POST表单如果没有Token将不会被接受。Minos默认开启xsrf_cookies,并且所有增删改查操作均通过POST进行。

    • 密码存储:Minos中,用户密码使用bcrypt库计算哈希后存入数据库,加密方法类似Wordpress,不能被简单破译。

  • 稳定:不允许一个warning。Minos已在debian上稳定运行多日。

  • 响应式:框架AmazeUI是一个mobile first的前端框架,对于各种屏幕的适应性都很好,加上我在手机屏幕大小的情况下隐藏了很多不必要的功能,所以在手机端也能愉快地看文章啦~

加载中
请先登录后再评论。

暂无资讯

没有更多内容

加载失败,请刷新页面

没有更多内容

tornado

引言 回想Django的部署方式 以Django为代表的python web应用部署时采用wsgi协议与服务器对接(被服务器托管),而这类服务器通常都是基于多线程的,也就是说每一个网络请求服务器都会有一个对...

2018/09/04 11:24
13
0
Tornado

Tornado是使用Python开发的全栈式(full-stack)Web框架和异步网络库,最早由Friendfeed开发。通过使用非阻塞 IO,Tornado可以处理数以万计的开放连接,是long polling、WebSockets和其他需要...

2015/11/04 10:54
35
0
tornado

Tornado 是 FriendFeed 使用的可扩展的非阻塞式 web 服务器及其相关工具的开源版本。这个 Web 框架看起来有些像 web.py 或者 Google 的 webapp,不过为了能有效利用非阻塞式服务器环境,这个...

2016/02/24 09:26
416
1
tornado

http://www.tornadoweb.cn/documentation https://github.com/facebook/tornado/tree/master/demos How I develop a tornado project http://lepture.com/work/tornado-project WTForms http...

2013/02/04 08:31
136
0
Tornado

简介 Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架,由FriendFeed公司在自己的网站FriendFeed中使用,被Facebook收购以后框架在2009年9月以开源软件形式...

2019/08/01 10:35
10
0
tornado

一. Tornado是什么? Facebook发布了开源网络服务器框架Tornado,该平台基于Facebook刚刚收购的社交聚合网站FriendFeed的实时信息服务开发而来.Tornado由Python编写,是一款轻量级的Web服务器...

2013/12/07 12:58
120
0
tornado

引言 回想Django的部署方式 以Django为代表的python web应用部署时采用wsgi协议与服务器对接(被服务器托管),而这类服务器通常都是基于多线程的,也就是说每一个网络请求服务器都会有一个对...

2018/07/23 14:55
17
0
tornado

1.说明(异步非阻塞框架)   特点:自带socket,可以不用wsgi      原生支持websocket协议      组件支持少,不提供session,orm,form,admin,只提供路由系统,视图函数,模板渲...

03/25 09:51
38
0
tornado

路由 测试tornado import tornado.ioloop#监听循环 import tornado.web#主要的包(核心模块) application =tornado.web.Application()#实例化参数 if __name__ =='__main__': application.li...

2019/03/27 14:50
2
0
tornado websocket

#coding:utf-8 import os.path import tornado.httpserver import tornado.web import tornado.ioloop import tornado.options import tornado.httpclient import tornado.websocket import ...

2016/09/06 22:39
200
0

没有更多内容

加载失败,请刷新页面

返回顶部
顶部