文章詳情頁

Django如何實(shí)現(xiàn)防止XSS攻擊

瀏覽：12日期：2024-09-20 15:06:43

一、什么是XSS攻擊

xss攻擊：----->web注入

　 xss跨站腳本攻擊（Cross site script，簡(jiǎn)稱xss）是一種“HTML注入”，由于攻擊的腳本多數(shù)時(shí)候是跨域的，所以稱之為“跨域腳本”。

我們常常聽到“注入”（Injection），如SQL注入，那么到底“注入”是什么？注入本質(zhì)上就是把輸入的數(shù)據(jù)變成可執(zhí)行的程序語句。SQL注入是如此，XSS也如此，只不過XSS一般注入的是惡意的腳本代碼，這些腳本代碼可以用來獲取合法用戶的數(shù)據(jù)，如Cookie信息。

PS：把用戶輸入的數(shù)據(jù)以安全的形式顯示，那只能是在頁面上顯示字符串。

django框架中給數(shù)據(jù)標(biāo)記安全方式顯示(但這種操作是不安全的！)：

　- 模版頁面上對(duì)拿到的數(shù)據(jù)后寫上safe. ----> {{XXXX|safe}} 　- 在后臺(tái)導(dǎo)入模塊：from django.utils.safestring import mark_safe

　把要傳給頁面的字符串做安全處理 ----> s = mark_safe(s)

二、測(cè)試代碼

實(shí)施XSS攻擊需要具備兩個(gè)條件：

一、需要向web頁面注入惡意代碼；

二、這些惡意代碼能夠被瀏覽器成功的執(zhí)行。

解決辦法：

1、一種方法是在表單提交或者url參數(shù)傳遞前，對(duì)需要的參數(shù)進(jìn)行過濾。

2、在后臺(tái)對(duì)從數(shù)據(jù)庫獲取的字符串?dāng)?shù)據(jù)進(jìn)行過濾，判斷關(guān)鍵字。

3、設(shè)置安全機(jī)制。

django框架：內(nèi)部機(jī)制默認(rèn)阻止了。它會(huì)判定傳入的字符串是不安全的，就不會(huì)渲染而以字符串的形式顯示。如果手賤寫了safe，那就危險(xiǎn)了，若想使用safe,那就必須在后臺(tái)對(duì)要渲染的字符串做過濾了。所以在開發(fā)的時(shí)候，一定要慎用安全機(jī)制。尤其是對(duì)用戶可以提交的并能渲染的內(nèi)容?。。?/p>

這里是不存在xss漏洞的寫法，因?yàn)閐jango已經(jīng)做了防攻擊措施

index.html

<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <title>Title</title></head><body><h1>評(píng)論</h1>{% for item in msg %}{# <div>{{ item|safe }}</div>#} #這里被注釋的，是因?yàn)?，|safe 加了這個(gè)就認(rèn)為是安全的了，寫入 <script> alert(123)</script> 就會(huì)惡意加載 <div>{{ item}}</div>{% endfor %}</body></html>

conment.html

<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <title>Title</title></head><body><form action='/comment/' method='POST'> <input type='text' name='content'> <input type='submit' value='提交'></form></body></html>

views.py

from django.shortcuts import render,HttpResponse# Create your views here.msg = []def comment(request): if request.method == 'GET': return render(request,'comment.html') else: v = request.POST.get('content') msg.append(v) return render(request,'comment.html')def index(request): return render(request,'index.html',{'msg':msg})########################################################def test(request): from django.utils.safestring import mark_safe temp = '<a href=’http://www.baidu.com’>百度</a>' newtemp = mark_safe(temp) #這里相當(dāng)于加了 |safe ，把字符串認(rèn)為是安全的，執(zhí)行代碼,如果不加 test.html里面 {{ temp }} 就只會(huì)顯示出字符串，而不是 a 標(biāo)簽 return render(request,’test.html’,{’temp’:newtemp})

urls.py

from app01 import viewsurlpatterns = [ url(r’^admin/’, admin.site.urls), url(r’^index/’, views.index), url(r’^comment/’,views.comment),]

------------------------------------######################_-------------------------------

以下是做了用戶輸入判斷，檢測(cè)是否有特殊字符

views.py

index.html

<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <title>Title</title></head><body><h1>評(píng)論</h1>{% for item in msg %} <div>{{ item|safe }}</div>{# <div>{{ item}}</div>#}{% endfor %}</body></html>

comment.html

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持好吧啦網(wǎng)。

Django

上一條：Django實(shí)現(xiàn)隨機(jī)圖形驗(yàn)證碼的示例下一條：Django項(xiàng)目創(chuàng)建及管理實(shí)現(xiàn)流程詳解

相關(guān)文章：

1. JavaScript中常見的幾種獲取元素的方式2. Xml簡(jiǎn)介_動(dòng)力節(jié)點(diǎn)Java學(xué)院整理3. phpstudy apache開啟ssi使用詳解4. ASP.NET MVC使用異步Action的方法5. ajax實(shí)現(xiàn)頁面的局部加載6. jsp實(shí)現(xiàn)登錄驗(yàn)證的過濾器7. jsp文件下載功能實(shí)現(xiàn)代碼8. uni-app結(jié)合.NET 7實(shí)現(xiàn)微信小程序訂閱消息推送9. 爬取今日頭條Ajax請(qǐng)求10. 利用ajax+php實(shí)現(xiàn)商品價(jià)格計(jì)算

排行榜

					
					phpstudy apache開啟ssi使用詳解
idea刪除項(xiàng)目的操作方法
基于JavaScript實(shí)現(xiàn)簡(jiǎn)單的輪播圖
IntelliJ IDEA導(dǎo)入jar包的方法
.Net加密神器Eazfuscator.NET?2023.2?最新版使用教程
IntelliJ IDEA多屏后窗口不顯示問題解決方案
Java多線程下解決數(shù)據(jù)安全問題
java類加載機(jī)制、類加載器、自定義類加載器的案例
Java多線程鎖機(jī)制相關(guān)原理實(shí)例解析
SSM框架整合之Spring+SpringMVC+MyBatis實(shí)踐步驟
Spring中基于xml的AOP的詳細(xì)步驟
				