Django如何實(shí)現(xiàn)防止XSS攻擊
一、什么是XSS攻擊
xss攻擊:----->web注入
xss跨站腳本攻擊(Cross site script,簡(jiǎn)稱xss)是一種“HTML注入”,由于攻擊的腳本多數(shù)時(shí)候是跨域的,所以稱之為“跨域腳本”。
我們常常聽到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本質(zhì)上就是把輸入的數(shù)據(jù)變成可執(zhí)行的程序語(yǔ)句。SQL注入是如此,XSS也如此,只不過XSS一般注入的是惡意的腳本代碼,這些腳本代碼可以用來獲取合法用戶的數(shù)據(jù),如Cookie信息。
PS: 把用戶輸入的數(shù)據(jù)以安全的形式顯示,那只能是在頁(yè)面上顯示字符串。
django框架中給數(shù)據(jù)標(biāo)記安全方式顯示(但這種操作是不安全的!):
- - 模版頁(yè)面上對(duì)拿到的數(shù)據(jù)后寫上safe. ----> {{XXXX|safe}}
- - 在后臺(tái)導(dǎo)入模塊:from django.utils.safestring import mark_safe
把要傳給頁(yè)面的字符串做安全處理 ----> s = mark_safe(s)
二、測(cè)試代碼
實(shí)施XSS攻擊需要具備兩個(gè)條件:
一、需要向web頁(yè)面注入惡意代碼;
二、這些惡意代碼能夠被瀏覽器成功的執(zhí)行。
解決辦法:
1、一種方法是在表單提交或者url參數(shù)傳遞前,對(duì)需要的參數(shù)進(jìn)行過濾。
2、在后臺(tái)對(duì)從數(shù)據(jù)庫(kù)獲取的字符串?dāng)?shù)據(jù)進(jìn)行過濾,判斷關(guān)鍵字。
3、設(shè)置安全機(jī)制。
django框架:內(nèi)部機(jī)制默認(rèn)阻止了。它會(huì)判定傳入的字符串是不安全的,就不會(huì)渲染而以字符串的形式顯示。如果手賤寫了safe,那就危險(xiǎn)了,若想使用safe,那就必須在后臺(tái)對(duì)要渲染的字符串做過濾了。所以在開發(fā)的時(shí)候,一定要慎用安全機(jī)制。尤其是對(duì)用戶可以提交的并能渲染的內(nèi)容?。?!
這里是不存在xss漏洞的寫法,因?yàn)閐jango已經(jīng)做了防攻擊措施
index.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h1>評(píng)論</h1> {% for item in msg %} {# <div>{{ item|safe }}</div>#} #這里被注釋的,是因?yàn)?,|safe 加了這個(gè)就認(rèn)為是安全的了,寫入 <script> alert(123)</script> 就會(huì)惡意加載 <div>{{ item}}</div> {% endfor %} </body> </html>
conment.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="/comment/" method="POST"> <input type="text" name="content"> <input type="submit" value="提交"> </form> </body> </html>
views.py
from django.shortcuts import render,HttpResponse # Create your views here. msg = [] def comment(request): if request.method == "GET": return render(request,"comment.html") else: v = request.POST.get("content") msg.append(v) return render(request,"comment.html") def index(request): return render(request,"index.html",{"msg":msg})######################################################## def test(request): from django.utils.safestring import mark_safe temp = "<a newtemp = mark_safe(temp) #這里相當(dāng)于加了 |safe ,把字符串認(rèn)為是安全的,執(zhí)行代碼,如果不加 test.html里面 {{ temp }} 就只會(huì)顯示出字符串,而不是 a 標(biāo)簽 return render(request,'test.html',{'temp':newtemp})
urls.py
from app01 import views urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^index/', views.index), url(r'^comment/',views.comment), ]
------------------------------------######################_-------------------------------
以下是做了用戶輸入判斷,檢測(cè)是否有特殊字符
views.py
from django.shortcuts import render,HttpResponse # Create your views here. msg = [] def comment(request): if request.method == "GET": return render(request,"comment.html") else: v = request.POST.get("content") if "script" in v: return render(request, "comment.html",{'error':'小比崽子'}) else: msg.append(v) return render(request,'comment.html') def index(request): return render(request,"index.html",{"msg":msg})
index.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h1>評(píng)論</h1> {% for item in msg %} <div>{{ item|safe }}</div> {# <div>{{ item}}</div>#} {% endfor %} </body> </html>
comment.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="/comment/" method="POST"> <input type="text" name="content"> <input type="submit" value="提交">{{ error }} </form> </body> </html>
以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。
相關(guān)文章
詳解安裝mitmproxy以及遇到的坑和簡(jiǎn)單用法
mitmproxy 是一款工具,也可以說是 python 的一個(gè)包,在命令行操作的工具。這篇文章主要介紹了詳解安裝mitmproxy以及遇到的坑和簡(jiǎn)單用法,感興趣的小伙伴們可以參考一下2019-01-01python使用Celery構(gòu)建異步任務(wù)隊(duì)列提高服務(wù)器吞吐量及響應(yīng)速度
這篇文章主要介紹了python使用Celery構(gòu)建異步任務(wù)隊(duì)列提高服務(wù)器吞吐量及響應(yīng)速度實(shí)例探究,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪2024-01-01Python編程實(shí)現(xiàn)tail-n查看日志文件的方法
這篇文章主要介紹了Python編程實(shí)現(xiàn)tail-n查看日志文件的方法,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2019-07-07用Python實(shí)現(xiàn)一個(gè)簡(jiǎn)單的能夠發(fā)送帶附件的郵件程序的教程
這篇文章主要介紹了用Python實(shí)現(xiàn)一個(gè)簡(jiǎn)單的能夠發(fā)送帶附件的郵件程序的教程,用MIMEApplication模塊來發(fā)送各種類型的文件,需要的朋友可以參考下2015-04-04Python實(shí)現(xiàn)簡(jiǎn)單的學(xué)生信息管理系統(tǒng)
這篇文章主要為大家詳細(xì)介紹了Python實(shí)現(xiàn)簡(jiǎn)單的學(xué)生信息管理系統(tǒng),文中示例代碼介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2022-03-03Windows安裝Python、pip、easy_install的方法
這篇文章主要介紹了Windows安裝Python、pip、easy_install的方法,需要的朋友可以參考下2017-03-03Python虛擬環(huán)境virtualenv創(chuàng)建及使用過程圖解
這篇文章主要介紹了Python虛擬環(huán)境virtualenv創(chuàng)建及使用過程圖解,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下2020-12-12Python 內(nèi)置函數(shù)之隨機(jī)函數(shù)詳情
這篇文章主要介紹了Python 內(nèi)置函數(shù)之隨機(jī)函數(shù),文章將圍繞Python 內(nèi)置函數(shù)、隨機(jī)函數(shù)的相關(guān)資料展開內(nèi)容,需要的朋友可以參考一下,希望對(duì)你有所幫助2021-11-11