Django如何實現(xiàn)防止XSS攻擊
一、什么是XSS攻擊
xss攻擊:----->web注入
xss跨站腳本攻擊(Cross site script,簡稱xss)是一種“HTML注入”,由于攻擊的腳本多數(shù)時候是跨域的,所以稱之為“跨域腳本”。
我們常常聽到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本質上就是把輸入的數(shù)據(jù)變成可執(zhí)行的程序語句。SQL注入是如此,XSS也如此,只不過XSS一般注入的是惡意的腳本代碼,這些腳本代碼可以用來獲取合法用戶的數(shù)據(jù),如Cookie信息。
PS: 把用戶輸入的數(shù)據(jù)以安全的形式顯示,那只能是在頁面上顯示字符串。
django框架中給數(shù)據(jù)標記安全方式顯示(但這種操作是不安全的!):
- - 模版頁面上對拿到的數(shù)據(jù)后寫上safe. ----> {{XXXX|safe}}
- - 在后臺導入模塊:from django.utils.safestring import mark_safe
把要傳給頁面的字符串做安全處理 ----> s = mark_safe(s)
二、測試代碼
實施XSS攻擊需要具備兩個條件:
一、需要向web頁面注入惡意代碼;
二、這些惡意代碼能夠被瀏覽器成功的執(zhí)行。
解決辦法:
1、一種方法是在表單提交或者url參數(shù)傳遞前,對需要的參數(shù)進行過濾。
2、在后臺對從數(shù)據(jù)庫獲取的字符串數(shù)據(jù)進行過濾,判斷關鍵字。
3、設置安全機制。
django框架:內部機制默認阻止了。它會判定傳入的字符串是不安全的,就不會渲染而以字符串的形式顯示。如果手賤寫了safe,那就危險了,若想使用safe,那就必須在后臺對要渲染的字符串做過濾了。所以在開發(fā)的時候,一定要慎用安全機制。尤其是對用戶可以提交的并能渲染的內容?。?!
這里是不存在xss漏洞的寫法,因為django已經(jīng)做了防攻擊措施
index.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h1>評論</h1> {% for item in msg %} {# <div>{{ item|safe }}</div>#} #這里被注釋的,是因為,|safe 加了這個就認為是安全的了,寫入 <script> alert(123)</script> 就會惡意加載 <div>{{ item}}</div> {% endfor %} </body> </html>
conment.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="/comment/" method="POST"> <input type="text" name="content"> <input type="submit" value="提交"> </form> </body> </html>
views.py
from django.shortcuts import render,HttpResponse # Create your views here. msg = [] def comment(request): if request.method == "GET": return render(request,"comment.html") else: v = request.POST.get("content") msg.append(v) return render(request,"comment.html") def index(request): return render(request,"index.html",{"msg":msg})######################################################## def test(request): from django.utils.safestring import mark_safe temp = "<a newtemp = mark_safe(temp) #這里相當于加了 |safe ,把字符串認為是安全的,執(zhí)行代碼,如果不加 test.html里面 {{ temp }} 就只會顯示出字符串,而不是 a 標簽 return render(request,'test.html',{'temp':newtemp})
urls.py
from app01 import views urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^index/', views.index), url(r'^comment/',views.comment), ]
------------------------------------######################_-------------------------------
以下是做了用戶輸入判斷,檢測是否有特殊字符
views.py
from django.shortcuts import render,HttpResponse # Create your views here. msg = [] def comment(request): if request.method == "GET": return render(request,"comment.html") else: v = request.POST.get("content") if "script" in v: return render(request, "comment.html",{'error':'小比崽子'}) else: msg.append(v) return render(request,'comment.html') def index(request): return render(request,"index.html",{"msg":msg})
index.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h1>評論</h1> {% for item in msg %} <div>{{ item|safe }}</div> {# <div>{{ item}}</div>#} {% endfor %} </body> </html>
comment.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="/comment/" method="POST"> <input type="text" name="content"> <input type="submit" value="提交">{{ error }} </form> </body> </html>
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。
相關文章
python使用Celery構建異步任務隊列提高服務器吞吐量及響應速度
這篇文章主要介紹了python使用Celery構建異步任務隊列提高服務器吞吐量及響應速度實例探究,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪2024-01-01Python編程實現(xiàn)tail-n查看日志文件的方法
這篇文章主要介紹了Python編程實現(xiàn)tail-n查看日志文件的方法,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧2019-07-07用Python實現(xiàn)一個簡單的能夠發(fā)送帶附件的郵件程序的教程
這篇文章主要介紹了用Python實現(xiàn)一個簡單的能夠發(fā)送帶附件的郵件程序的教程,用MIMEApplication模塊來發(fā)送各種類型的文件,需要的朋友可以參考下2015-04-04Python實現(xiàn)簡單的學生信息管理系統(tǒng)
這篇文章主要為大家詳細介紹了Python實現(xiàn)簡單的學生信息管理系統(tǒng),文中示例代碼介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們可以參考一下2022-03-03Windows安裝Python、pip、easy_install的方法
這篇文章主要介紹了Windows安裝Python、pip、easy_install的方法,需要的朋友可以參考下2017-03-03Python虛擬環(huán)境virtualenv創(chuàng)建及使用過程圖解
這篇文章主要介紹了Python虛擬環(huán)境virtualenv創(chuàng)建及使用過程圖解,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下2020-12-12