编程 Python

django框架防止XSS注入的方法分析

Posted in Python onJune 21, 2019

本文实例讲述了django框架防止XSS注入的方法。分享给大家供大家参考，具体如下：

XSS 是常见的跨站脚本攻击，而且这种类型的错误很不容易被发现或者被开发人员忽视，当然django 框架本身是有这方面的考虑的，比如在模板中自动开启了 escape, 但事实上，我在改版我的个人博客 yihaomen.duapp.com 时，在评论框的地方没有用到富文本编辑器，而是让用户自己输入内容，如果某个用户输入了如下类似的东西:

这是我的评论，

<script>alert('xss injection');</script>

而我在模板中是这样使用的 {{comment|safe}}, 由于使用了 safe filter ，所以这里会直接弹出对话框出来。这就是XSS 注入了。真实的项目中是不允许出现这样的情况的，用safe 的目的是为了更好的显示html标签等。所以要解决的方式是在后台接收到内容的时候，进行转义处理，特别是 "< > " 这些符号，以及单引号，双引号等，最初，我自己写了一些替换方法。比如

def checkxss(content):
  checked_content = content
  checked_content = re.sub(r"&", "&", checked_content,0,re.I)
  checked_content = re.sub(r"'", "´", checked_content,0,re.I)
  checked_content = re.sub(r'""', """, checked_content,0,re.I)
  checked_content = re.sub(r"<", "<", checked_content,0,re.I)
  checked_content = re.sub(r">", ">", checked_content,0,re.I)
  checked_content = re.sub(r"/", "/", checked_content,0,re.I)

当然在后台处理掉这些，然后保存到数据库，再次打开的时候，在模板用|safe 过滤器，就会还原成原来的样子，确实没错。但问题是我自己画蛇添足了。因为django 自身有一系列的方法。这些方法在 django.utils.html package中。我用这几个写一个测试.

'''
Created on 2013-11-21
@author: yihaomen.com
'''
from django.utils.html import escape, strip_tags, remove_tags
html_content = """
  <html xmlns="http://www.w3.org/1999/xhtml">
  <head>
  <script>alert("test")</script>
  <title>yihaomen.com test</title>
  <link href="/static/css/style.css" rel="external nofollow" rel="stylesheet" type="text/css" />
  </head>
  <body>
   content
  </body>
  </html>
"""
def escape_html(html):
  return escape(html);
def stript_all_tags(html):
  return strip_tags(html)
def remove_part_tags(html,tags):
  return remove_tags(html, tags)
if __name__ == '__main__':
  print "====escape all tags======"
  print escape_html(html_content)
  print "====remove all tags======"
  print strip_tags(html_content)
  print "===remove part tags.====="
  print remove_part_tags(html_content,"script html body")

当然还有更多的方法，可以查看django的代码。以上的方法可以看到 django 可以很方便的 eacape 所有html标签，也可以部分 escape html标签，还可以只保留内容等。确实很方便。

由此可见用 django.utils.html 里面的东西，足够应付 xss 注入.

希望本文所述对大家基于Django框架的Python程序设计有所帮助。

django框架防止XSS注入的方法分析

- Author -

轻舞肥羊

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Python 相关文章推荐

Python实现对PPT文件进行截图操作的方法

Apr 28 Python

Python实现数据库编程方法详解

Jun 09 Python

Python的Django REST框架中的序列化及请求和返回

Apr 11 Python

python3 shelve模块的详解

Jul 08 Python

Python实现的插入排序算法原理与用法实例分析

Nov 22 Python

Django 2.0版本的新特性抢先看！

Jan 05 Python

python 判断linux进程,并杀死进程的实现方法

Jul 01 Python

django的model操作汇整详解

Jul 26 Python

Python+redis通过限流保护高并发系统

Apr 15 Python

python实现图像高斯金字塔的示例代码

Dec 11 Python

python内置进制转换函数的操作

Jun 02 Python

Python 如何将integer转化为罗马数(3999以内)

Jun 05 Python

pyqt5中QThread在使用时出现重复emit的实例

Jun 21 #Python

python发送多人邮件没有展示收件人问题的解决方法

Jun 21 #Python

pyqt5让图片自适应QLabel大小上以及移除已显示的图片方法

Jun 21 #Python

django框架使用orm实现批量更新数据的方法

Jun 21 #Python

python字典改变value值方法总结

Jun 21 #Python

python如何以表格形式打印输出的方法示例

Jun 21 #Python

pytz格式化北京时间多出6分钟问题的解决方法

Jun 21 #Python