编程 Python

django框架防止XSS注入的方法分析

Posted in Python onJune 21, 2019

本文实例讲述了django框架防止XSS注入的方法。分享给大家供大家参考，具体如下：

XSS 是常见的跨站脚本攻击，而且这种类型的错误很不容易被发现或者被开发人员忽视，当然django 框架本身是有这方面的考虑的，比如在模板中自动开启了 escape, 但事实上，我在改版我的个人博客 yihaomen.duapp.com 时，在评论框的地方没有用到富文本编辑器，而是让用户自己输入内容，如果某个用户输入了如下类似的东西:

这是我的评论，

<script>alert('xss injection');</script>

而我在模板中是这样使用的 {{comment|safe}}, 由于使用了 safe filter ，所以这里会直接弹出对话框出来。这就是XSS 注入了。真实的项目中是不允许出现这样的情况的，用safe 的目的是为了更好的显示html标签等。所以要解决的方式是在后台接收到内容的时候，进行转义处理，特别是 "< > " 这些符号，以及单引号，双引号等，最初，我自己写了一些替换方法。比如

def checkxss(content):
  checked_content = content
  checked_content = re.sub(r"&", "&", checked_content,0,re.I)
  checked_content = re.sub(r"'", "´", checked_content,0,re.I)
  checked_content = re.sub(r'""', """, checked_content,0,re.I)
  checked_content = re.sub(r"<", "<", checked_content,0,re.I)
  checked_content = re.sub(r">", ">", checked_content,0,re.I)
  checked_content = re.sub(r"/", "/", checked_content,0,re.I)

当然在后台处理掉这些，然后保存到数据库，再次打开的时候，在模板用|safe 过滤器，就会还原成原来的样子，确实没错。但问题是我自己画蛇添足了。因为django 自身有一系列的方法。这些方法在 django.utils.html package中。我用这几个写一个测试.

'''
Created on 2013-11-21
@author: yihaomen.com
'''
from django.utils.html import escape, strip_tags, remove_tags
html_content = """
  <html xmlns="http://www.w3.org/1999/xhtml">
  <head>
  <script>alert("test")</script>
  <title>yihaomen.com test</title>
  <link href="/static/css/style.css" rel="external nofollow" rel="stylesheet" type="text/css" />
  </head>
  <body>
   content
  </body>
  </html>
"""
def escape_html(html):
  return escape(html);
def stript_all_tags(html):
  return strip_tags(html)
def remove_part_tags(html,tags):
  return remove_tags(html, tags)
if __name__ == '__main__':
  print "====escape all tags======"
  print escape_html(html_content)
  print "====remove all tags======"
  print strip_tags(html_content)
  print "===remove part tags.====="
  print remove_part_tags(html_content,"script html body")

当然还有更多的方法，可以查看django的代码。以上的方法可以看到 django 可以很方便的 eacape 所有html标签，也可以部分 escape html标签，还可以只保留内容等。确实很方便。

由此可见用 django.utils.html 里面的东西，足够应付 xss 注入.

希望本文所述对大家基于Django框架的Python程序设计有所帮助。

django框架防止XSS注入的方法分析

- Author -

轻舞肥羊

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Python 相关文章推荐

python中使用mysql数据库详细介绍

Mar 27 Python

将Python中的数据存储到系统本地的简单方法

Apr 11 Python

[原创]Python入门教程1. 基本运算【四则运算、变量、math模块等】

Oct 28 Python

python生成器与迭代器详解

Jan 01 Python

python3 requests库文件上传与下载实现详解

Aug 22 Python

python使用itchat模块给心爱的人每天发天气预报

Nov 25 Python

关于python pycharm中输出的内容不全的解决办法

Jan 10 Python

Python环境下安装PyGame和PyOpenGL的方法

Mar 25 Python

python爬虫使用正则爬取网站的实现

Aug 03 Python

scrapy利用selenium爬取豆瓣阅读的全步骤

Sep 20 Python

python中的split、rsplit、splitlines用法说明

Oct 23 Python

使用python创建股票的时间序列可视化分析

Mar 03 Python

pyqt5中QThread在使用时出现重复emit的实例

Jun 21 #Python

python发送多人邮件没有展示收件人问题的解决方法

Jun 21 #Python

pyqt5让图片自适应QLabel大小上以及移除已显示的图片方法

Jun 21 #Python

django框架使用orm实现批量更新数据的方法

Jun 21 #Python

python字典改变value值方法总结

Jun 21 #Python

python如何以表格形式打印输出的方法示例

Jun 21 #Python

pytz格式化北京时间多出6分钟问题的解决方法

Jun 21 #Python