溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本文實例講述了django框架防止XSS注入的方法。分享給大家供大家參考,具體如下:
XSS 是常見的跨站腳本攻擊,而且這種類型的錯誤很不容易被發現或者被開發人員忽視,當然django 框架本身是有這方面的考慮的,比如在模板中自動開啟了 escape, 但事實上,我在改版我的 個人博客 yihaomen.duapp.com 時,在評論框的地方沒有用到富文本編輯器,而是讓用戶自己輸入內容,如果某個用戶輸入了如下類似的東西:
這是我的評論,
<script>alert('xss injection');</script>
而我在模板中是這樣使用的 {{comment|safe}}, 由于使用了 safe filter ,所以這里會直接彈出對話框出來。這就是XSS 注入了。真實的項目中是不允許出現這樣的情況的,用safe 的目的是為了更好的顯示html標簽等。所以要解決的方式是在后臺接收到內容的時候,進行轉義處理,特別是 "< > " 這些符號,以及 單引號,雙引號等,最初,我自己寫了一些替換方法。比如
def checkxss(content): checked_content = content checked_content = re.sub(r"&", "&", checked_content,0,re.I) checked_content = re.sub(r"'", "´", checked_content,0,re.I) checked_content = re.sub(r'""', """, checked_content,0,re.I) checked_content = re.sub(r"<", "<", checked_content,0,re.I) checked_content = re.sub(r">", ">", checked_content,0,re.I) checked_content = re.sub(r"/", "/", checked_content,0,re.I)
當然在后臺處理掉這些,然后保存到數據庫,再次打開的時候,在模板用|safe 過濾器,就會還原成原來的樣子,確實沒錯。但問題是我自己畫蛇添足了。因為django 自身有一系列的方法。這些方法在 django.utils.html package中。我用這幾個寫一個測試.
'''
Created on 2013-11-21
@author: yihaomen.com
'''
from django.utils.html import escape, strip_tags, remove_tags
html_content = """
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<script>alert("test")</script>
<title>yihaomen.com test</title>
<link href="/static/css/style.css" rel="external nofollow" rel="stylesheet" type="text/css" />
</head>
<body>
content
</body>
</html>
"""
def escape_html(html):
return escape(html);
def stript_all_tags(html):
return strip_tags(html)
def remove_part_tags(html,tags):
return remove_tags(html, tags)
if __name__ == '__main__':
print "====escape all tags======"
print escape_html(html_content)
print "====remove all tags======"
print strip_tags(html_content)
print "===remove part tags.====="
print remove_part_tags(html_content,"script html body")
當然還有更多的方法,可以查看django的代碼。 以上的方法可以看到 django 可以很方便的 eacape 所有html標簽,也可以部分 escape html標簽,還可以只保留內容等。確實很方便。
由此可見用 django.utils.html 里面的東西,足夠應付 xss 注入.
希望本文所述對大家基于Django框架的Python程序設計有所幫助。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
