首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 Python

Django如何实现防止XSS攻击

Posted in Python onOctober 13, 2020

一、什么是XSS攻击

xss攻击:----->web注入

  xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。

我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。

PS: 把用户输入的数据以安全的形式显示,那只能是在页面上显示字符串。

django框架中给数据标记安全方式显示(但这种操作是不安全的!):

  •  - 模版页面上对拿到的数据后写上safe. ----> {{XXXX|safe}}
  •  - 在后台导入模块:from django.utils.safestring import mark_safe

  把要传给页面的字符串做安全处理 ----> s = mark_safe(s)

二、测试代码

实施XSS攻击需要具备两个条件:

一、需要向web页面注入恶意代码;

二、这些恶意代码能够被浏览器成功的执行。

解决办法:

1、一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤。

2、在后台对从数据库获取的字符串数据进行过滤,判断关键字。

3、设置安全机制。

django框架:内部机制默认阻止了。它会判定传入的字符串是不安全的,就不会渲染而以字符串的形式显示。如果手贱写了safe,那就危险了,若想使用safe,那就必须在后台对要渲染的字符串做过滤了。所以在开发的时候,一定要慎用安全机制。尤其是对用户可以提交的并能渲染的内容!!!

这里是不存在xss漏洞的写法,因为django已经做了防攻击措施

index.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>

<h1>评论</h1>
{% for item in msg %}
{#  <div>{{ item|safe }}</div>#} #这里被注释的,是因为,|safe 加了这个就认为是安全的了,写入 <script> alert(123)</script> 就会恶意加载
  <div>{{ item}}</div>
{% endfor %}

</body>
</html>

conment.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>

<form action="/comment/" method="POST">
  <input type="text" name="content">
  <input type="submit" value="提交">
</form>
</body>
</html>

views.py

from django.shortcuts import render,HttpResponse

# Create your views here.
msg = []

def comment(request):
  if request.method == "GET":
    return render(request,"comment.html")
  else:
    v = request.POST.get("content")
    msg.append(v)
    return render(request,"comment.html")
def index(request):
  return render(request,"index.html",{"msg":msg})########################################################
def test(request):
  from django.utils.safestring import mark_safe
  temp = "<a href='http://www.baidu.com'>百度</a>"
  newtemp = mark_safe(temp)  #这里相当于加了 |safe ,把字符串认为是安全的,执行代码,如果不加 test.html里面 {{ temp }} 就只会显示出字符串,而不是 a 标签
  return render(request,'test.html',{'temp':newtemp})

urls.py

from app01 import views
urlpatterns = [
  url(r'^admin/', admin.site.urls),
  url(r'^index/', views.index),
  url(r'^comment/',views.comment),
]

------------------------------------######################_-------------------------------

以下是做了用户输入判断,检测是否有特殊字符

views.py

from django.shortcuts import render,HttpResponse

# Create your views here.
msg = []

def comment(request):
  if request.method == "GET":
    return render(request,"comment.html")
  else:
    v = request.POST.get("content")
    if "script" in v:
      return render(request, "comment.html",{'error':'小比崽子'})
    else:
      msg.append(v)
      return render(request,'comment.html')
def index(request):
  return render(request,"index.html",{"msg":msg})

index.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>

<h1>评论</h1>
{% for item in msg %}
  <div>{{ item|safe }}</div>
{#  <div>{{ item}}</div>#}
{% endfor %}

</body>
</html>

comment.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>

<form action="/comment/" method="POST">
  <input type="text" name="content">
  <input type="submit" value="提交">{{ error }}
</form>
</body>
</html>

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Django如何实现防止XSS攻击

- Author -

py鱼

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Python 相关文章推荐
Python数据类型详解(二)列表
May 08 Python
用生成器来改写直接返回列表的函数方法
May 25 Python
一篇文章快速了解Python的GIL
Jan 12 Python
mac下给python3安装requests库和scrapy库的实例
Jun 13 Python
利用django-suit模板添加自定义的菜单、页面及设置访问权限
Jul 13 Python
ipython和python区别详解
Jun 26 Python
python绘制多个子图的实例
Jul 07 Python
用Python爬取QQ音乐评论并制成词云图的实例
Aug 24 Python
OpenCV里的imshow()和Matplotlib.pyplot的imshow()的实现
Nov 25 Python
安装PyInstaller失败问题解决
Dec 14 Python
Python猜数字算法题详解
Mar 01 Python
Django显示可视化图表的实践
May 10 Python
5款实用的python 工具推荐
Oct 13 #Python
Python内置函数及功能简介汇总
Oct 13 #Python
Python pymysql模块安装并操作过程解析
Oct 13 #Python
Python安装并操作redis实现流程详解
Oct 13 #Python
python按照list中字典的某key去重的示例代码
Oct 13 #Python
Python importlib模块重载使用方法详解
Oct 13 #Python
Pycharm添加虚拟解释器报错问题解决方案
Oct 13 #Python
输入法(2) RustDesk(1) 鸿蒙(2) Debian(1) win7(2) 声卡驱动(1) 鸿蒙3.0(1) 蓝屏(1) Sunmao(1) 滚动条(1)
You might like
上海地方志办公室-上海电子仪表工业志
2021/03/04 无线电
给apache2.2加上mod_encoding模块後 php5.2.0 处理url出现bug
2007/04/12 PHP
PHP使用Mysqli类库实现完美分页效果的方法
2016/04/07 PHP
smarty中改进truncate使其支持中文的方法
2016/05/30 PHP
提高网站信任度的技巧
2008/10/17 Javascript
js 实现打印网页中定义的部分内容的代码
2010/04/01 Javascript
JQuery index()方法使用代码
2010/06/02 Javascript
JavaScript模拟鼠标右键菜单效果
2020/12/08 Javascript
一个极为简单的requirejs实现方法
2016/10/20 Javascript
教你5分钟学会用requirejs(必看篇)
2017/07/25 Javascript
vue 通过下拉框组件学习vue中的父子通讯
2017/12/19 Javascript
微信小程序实践之动态控制组件的显示/隐藏功能
2018/07/18 Javascript
详解vue移动端项目的适配(以mint-ui为例)
2018/08/17 Javascript
jQuery中each和js中forEach的区别分析
2019/02/27 jQuery
Vue extend的基本用法(实例详解)
2019/12/09 Javascript
[16:27]DOTA2 HEROS教学视频教你分分钟做大人-艾欧
2014/06/11 DOTA
[02:34]肉山说——泡妞篇
2014/09/16 DOTA
[01:21:36]CHAOS vs Alliacne 2019国际邀请赛小组赛 BO2 第一场 8.15
2019/08/16 DOTA
wxpython中利用线程防止假死的实现方法
2014/08/11 Python
Python 实现一个颜色色值转换的小工具
2016/12/06 Python
Python多线程经典问题之乘客做公交车算法实例
2017/03/22 Python
python实现决策树分类算法
2017/12/21 Python
深入理解Django的中间件middleware
2018/03/14 Python
python 链接sqlserver 写接口实例
2020/03/11 Python
celery在python爬虫中定时操作实例讲解
2020/11/27 Python
html5摇一摇代码优化包括DeviceMotionEvent等等
2014/09/01 HTML / CSS
美国电子产品主要品牌的授权在线零售商:DataVision
2019/03/23 全球购物
后勤人员自我评价怎么写
2013/09/19 职场文书
计算机专业个人简短的自我评价
2013/10/23 职场文书
大学生新闻专业个人自我评价
2013/11/12 职场文书
运动会广播稿400字
2014/01/25 职场文书
物流专业求职信
2014/06/30 职场文书
新教师培训心得体会
2014/09/02 职场文书
工作失误检讨书(3篇)
2014/10/11 职场文书
2016暑期师德培训心得体会
2016/01/09 职场文书
团队拓展训练心得体会
2016/01/12 职场文书