溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

django框架防止XSS注入的方法分析

發(fā)布時(shí)間:2020-09-29 14:40:27 來(lái)源:腳本之家 閱讀:183 作者:輕舞肥羊 欄目:開(kāi)發(fā)技術(shù)

本文實(shí)例講述了django框架防止XSS注入的方法。分享給大家供大家參考,具體如下:

XSS 是常見(jiàn)的跨站腳本攻擊,而且這種類(lèi)型的錯(cuò)誤很不容易被發(fā)現(xiàn)或者被開(kāi)發(fā)人員忽視,當(dāng)然django 框架本身是有這方面的考慮的,比如在模板中自動(dòng)開(kāi)啟了 escape, 但事實(shí)上,我在改版我的 個(gè)人博客 yihaomen.duapp.com 時(shí),在評(píng)論框的地方?jīng)]有用到富文本編輯器,而是讓用戶(hù)自己輸入內(nèi)容,如果某個(gè)用戶(hù)輸入了如下類(lèi)似的東西:

這是我的評(píng)論,

<script>alert('xss injection');</script>

而我在模板中是這樣使用的 {{comment|safe}}, 由于使用了 safe filter ,所以這里會(huì)直接彈出對(duì)話(huà)框出來(lái)。這就是XSS 注入了。真實(shí)的項(xiàng)目中是不允許出現(xiàn)這樣的情況的,用safe 的目的是為了更好的顯示html標(biāo)簽等。所以要解決的方式是在后臺(tái)接收到內(nèi)容的時(shí)候,進(jìn)行轉(zhuǎn)義處理,特別是 "< > " 這些符號(hào),以及 單引號(hào),雙引號(hào)等,最初,我自己寫(xiě)了一些替換方法。比如

def checkxss(content):
  checked_content = content
  checked_content = re.sub(r"&", "&", checked_content,0,re.I)
  checked_content = re.sub(r"'", "´", checked_content,0,re.I)
  checked_content = re.sub(r'""', """, checked_content,0,re.I)
  checked_content = re.sub(r"<", "<", checked_content,0,re.I)
  checked_content = re.sub(r">", ">", checked_content,0,re.I)
  checked_content = re.sub(r"/", "/", checked_content,0,re.I)

當(dāng)然在后臺(tái)處理掉這些,然后保存到數(shù)據(jù)庫(kù),再次打開(kāi)的時(shí)候,在模板用|safe 過(guò)濾器,就會(huì)還原成原來(lái)的樣子,確實(shí)沒(méi)錯(cuò)。但問(wèn)題是我自己畫(huà)蛇添足了。因?yàn)閐jango 自身有一系列的方法。這些方法在 django.utils.html  package中。我用這幾個(gè)寫(xiě)一個(gè)測(cè)試.

'''
Created on 2013-11-21
@author: yihaomen.com
'''
from django.utils.html import escape, strip_tags, remove_tags
html_content = """
  <html xmlns="http://www.w3.org/1999/xhtml">
  <head>
  <script>alert("test")</script>
  <title>yihaomen.com test</title>
  <link href="/static/css/style.css" rel="external nofollow" rel="stylesheet" type="text/css" />
  </head>
  <body>
   content
  </body>
  </html>
"""
def escape_html(html):
  return escape(html);
def stript_all_tags(html):
  return strip_tags(html)
def remove_part_tags(html,tags):
  return remove_tags(html, tags)
if __name__ == '__main__':
  print "====escape all tags======"
  print escape_html(html_content)
  print "====remove all tags======"
  print strip_tags(html_content)
  print "===remove part tags.====="
  print remove_part_tags(html_content,"script html body")

當(dāng)然還有更多的方法,可以查看django的代碼。 以上的方法可以看到 django 可以很方便的 eacape 所有html標(biāo)簽,也可以部分 escape html標(biāo)簽,還可以只保留內(nèi)容等。確實(shí)很方便。

由此可見(jiàn)用 django.utils.html 里面的東西,足夠應(yīng)付 xss 注入.

希望本文所述對(duì)大家基于Django框架的Python程序設(shè)計(jì)有所幫助。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI