首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 Python

Django如何实现防止XSS攻击

Posted in Python onOctober 13, 2020

一、什么是XSS攻击

xss攻击:----->web注入

  xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。

我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。

PS: 把用户输入的数据以安全的形式显示,那只能是在页面上显示字符串。

django框架中给数据标记安全方式显示(但这种操作是不安全的!):

  •  - 模版页面上对拿到的数据后写上safe. ----> {{XXXX|safe}}
  •  - 在后台导入模块:from django.utils.safestring import mark_safe

  把要传给页面的字符串做安全处理 ----> s = mark_safe(s)

二、测试代码

实施XSS攻击需要具备两个条件:

一、需要向web页面注入恶意代码;

二、这些恶意代码能够被浏览器成功的执行。

解决办法:

1、一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤。

2、在后台对从数据库获取的字符串数据进行过滤,判断关键字。

3、设置安全机制。

django框架:内部机制默认阻止了。它会判定传入的字符串是不安全的,就不会渲染而以字符串的形式显示。如果手贱写了safe,那就危险了,若想使用safe,那就必须在后台对要渲染的字符串做过滤了。所以在开发的时候,一定要慎用安全机制。尤其是对用户可以提交的并能渲染的内容!!!

这里是不存在xss漏洞的写法,因为django已经做了防攻击措施

index.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>

<h1>评论</h1>
{% for item in msg %}
{#  <div>{{ item|safe }}</div>#} #这里被注释的,是因为,|safe 加了这个就认为是安全的了,写入 <script> alert(123)</script> 就会恶意加载
  <div>{{ item}}</div>
{% endfor %}

</body>
</html>

conment.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>

<form action="/comment/" method="POST">
  <input type="text" name="content">
  <input type="submit" value="提交">
</form>
</body>
</html>

views.py

from django.shortcuts import render,HttpResponse

# Create your views here.
msg = []

def comment(request):
  if request.method == "GET":
    return render(request,"comment.html")
  else:
    v = request.POST.get("content")
    msg.append(v)
    return render(request,"comment.html")
def index(request):
  return render(request,"index.html",{"msg":msg})########################################################
def test(request):
  from django.utils.safestring import mark_safe
  temp = "<a href='http://www.baidu.com'>百度</a>"
  newtemp = mark_safe(temp)  #这里相当于加了 |safe ,把字符串认为是安全的,执行代码,如果不加 test.html里面 {{ temp }} 就只会显示出字符串,而不是 a 标签
  return render(request,'test.html',{'temp':newtemp})

urls.py

from app01 import views
urlpatterns = [
  url(r'^admin/', admin.site.urls),
  url(r'^index/', views.index),
  url(r'^comment/',views.comment),
]

------------------------------------######################_-------------------------------

以下是做了用户输入判断,检测是否有特殊字符

views.py

from django.shortcuts import render,HttpResponse

# Create your views here.
msg = []

def comment(request):
  if request.method == "GET":
    return render(request,"comment.html")
  else:
    v = request.POST.get("content")
    if "script" in v:
      return render(request, "comment.html",{'error':'小比崽子'})
    else:
      msg.append(v)
      return render(request,'comment.html')
def index(request):
  return render(request,"index.html",{"msg":msg})

index.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>

<h1>评论</h1>
{% for item in msg %}
  <div>{{ item|safe }}</div>
{#  <div>{{ item}}</div>#}
{% endfor %}

</body>
</html>

comment.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>

<form action="/comment/" method="POST">
  <input type="text" name="content">
  <input type="submit" value="提交">{{ error }}
</form>
</body>
</html>

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Django如何实现防止XSS攻击

- Author -

py鱼

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Python 相关文章推荐
linux系统使用python监测网络接口获取网络的输入输出
Jan 15 Python
python实现通过pil模块对图片格式进行转换的方法
Mar 24 Python
使用python爬虫获取黄金价格的核心代码
Jun 13 Python
Python3 jupyter notebook 服务器搭建过程
Nov 30 Python
Python基于matplotlib画箱体图检验异常值操作示例【附xls数据文件下载】
Jan 07 Python
python3实现逐字输出的方法
Jan 23 Python
解决webdriver.Chrome()报错:Message:'chromedriver' executable needs to be in Path
Jun 12 Python
Python-openCV读RGB通道图实例
Jan 17 Python
TensorFlow2.X使用图片制作简单的数据集训练模型
Apr 08 Python
pyinstaller打包成无控制台程序时运行出错(与popen冲突的解决方法)
Apr 15 Python
Python模拟伯努利试验和二项分布代码实例
May 27 Python
Django filter动态过滤与排序实现过程解析
Nov 26 Python
5款实用的python 工具推荐
Oct 13 #Python
Python内置函数及功能简介汇总
Oct 13 #Python
Python pymysql模块安装并操作过程解析
Oct 13 #Python
Python安装并操作redis实现流程详解
Oct 13 #Python
python按照list中字典的某key去重的示例代码
Oct 13 #Python
Python importlib模块重载使用方法详解
Oct 13 #Python
Pycharm添加虚拟解释器报错问题解决方案
Oct 13 #Python
挪威购物网站(7) 埃及购物网站(2) 法国购物网站(144) 阿根廷购物网站(9) 丹麦购物网站(22) 肯尼亚购物网站(2) 澳大利亚购物网站(309) 意大利购物网站(128) 印尼购物网站(37) 台湾购物网站(77)
You might like
php trim 去除空字符的定义与语法介绍
2010/05/31 PHP
优化php效率,提高php性能的一些方法
2011/03/24 PHP
解析PHP提交后跳转
2013/06/23 PHP
PHP多线程类及用法实例
2014/12/03 PHP
PHP实现在线阅读PDF文件的方法
2015/06/17 PHP
PHP 无限级分类
2017/05/04 PHP
对php 判断http还是https,以及获得当前url的方法详解
2019/01/15 PHP
php面向对象重点知识分享
2019/09/27 PHP
laravel实现图片上传预览,及编辑时可更换图片,并实时变化的例子
2019/11/14 PHP
Javascript代码混淆综合解决方案-Javascript在线混淆器
2006/12/18 Javascript
js 调用百度地图api并在地图上进行打点添加标注
2014/05/13 Javascript
IE8 内存泄露(内存一直增长 )的原因及解决办法
2016/04/06 Javascript
基于JavaScript实现在新的tab页打开url
2016/08/04 Javascript
BOM系列第二篇之定时器requestAnimationFrame
2016/08/17 Javascript
JavaScript实现时钟滴答声效果
2017/01/29 Javascript
Bootstrap缩略图与警告框学习使用
2017/02/08 Javascript
Vue2组件tree实现无限级树形菜单
2017/03/29 Javascript
AngularJS基于factory创建自定义服务的方法详解
2017/05/25 Javascript
微信小程序实现元素渐入渐出动画效果封装方法
2019/05/18 Javascript
JavaScript实现打砖块游戏
2020/02/25 Javascript
vue中的v-model原理,与组件自定义v-model详解
2020/08/04 Javascript
[44:10]2018DOTA2亚洲邀请赛 4.5 淘汰赛 EG vs VP 第一场
2018/04/06 DOTA
Python数据集切分实例
2018/12/08 Python
python协程之动态添加任务的方法
2019/02/19 Python
Python3匿名函数lambda介绍与使用示例
2019/05/18 Python
Python学习笔记之集合的概念和简单使用示例
2019/08/22 Python
matplotlib对象拾取事件处理的实现
2021/01/14 Python
python自动生成证件号的方法示例
2021/01/14 Python
定义一结构体变量,用其表示点坐标,并输入两点坐标,求两点之间的距离
2015/08/17 面试题
新学期校长寄语
2014/01/18 职场文书
本科毕业生自荐信
2014/06/02 职场文书
群众对十八届四中全会的期盼
2014/10/17 职场文书
2014年平安建设工作总结
2014/11/19 职场文书
见义勇为事迹材料
2014/12/24 职场文书
幼儿园园务工作总结2015
2015/05/18 职场文书
开业典礼致辞
2015/07/29 职场文书