使用Django實現防止XSS攻擊
今天就跟大家聊聊有關使用Django實現防止XSS攻擊�����,可能很多人都不太了解�����,為了讓大家更加了解���,小編給大家總結了以下內容�,希望大家根據這篇文章可以有所收獲��。
一����、什么是XSS攻擊
xss攻擊:----->web注入
xss跨站腳本攻擊(Cross site script����,簡稱xss)是一種“HTML注入”���,由于攻擊的腳本多數時候是跨域的�����,所以稱之為“跨域腳本”���。
我們常常聽到“注入”(Injection)��,如SQL注入����,那么到底“注入”是什么���?注入本質上就是把輸入的數據變成可執行的程序語句��。SQL注入是如此����,XSS也如此�,只不過XSS一般注入的是惡意的腳本代碼�,這些腳本代碼可以用來獲取合法用戶的數據�����,如Cookie信息�����。
PS: 把用戶輸入的數據以安全的形式顯示�����,那只能是在頁面上顯示字符串�。
django框架中給數據標記安全方式顯示(但這種操作是不安全的����!):
- - 模版頁面上對拿到的數據后寫上safe. ----> {{XXXX|safe}}
- - 在后臺導入模塊:from django.utils.safestring import mark_safe
把要傳給頁面的字符串做安全處理 ----> s = mark_safe(s)
二���、測試代碼
實施XSS攻擊需要具備兩個條件:
一���、需要向web頁面注入惡意代碼�;
二�、這些惡意代碼能夠被瀏覽器成功的執行�。
解決辦法:
1����、一種方法是在表單提交或者url參數傳遞前���,對需要的參數進行過濾��。
2���、在后臺對從數據庫獲取的字符串數據進行過濾����,判斷關鍵字���。
3��、設置安全機制��。
django框架:內部機制默認阻止了����。它會判定傳入的字符串是不安全的���,就不會渲染而以字符串的形式顯示����。如果手賤寫了safe�,那就危險了�����,若想使用safe,那就必須在后臺對要渲染的字符串做過濾了�。所以在開發的時候�����,一定要慎用安全機制�����。尤其是對用戶可以提交的并能渲染的內容?�。����?!
這里是不存在xss漏洞的寫法�����,因為django已經做了防攻擊措施
index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h2>評論</h2>
{% for item in msg %}
{# <div>{{ item|safe }}</div>#} #這里被注釋的����,是因為�����,|safe 加了這個就認為是安全的了��,寫入 <script> alert(123)</script> 就會惡意加載
<div>{{ item}}</div>
{% endfor %}
</body>
</html>conment.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/comment/" method="POST">
<input type="text" name="content">
<input type="submit" value="提交">
</form>
</body>
</html>
views.py
from django.shortcuts import render,HttpResponse
# Create your views here.
msg = []
def comment(request):
if request.method == "GET":
return render(request,"comment.html")
else:
v = request.POST.get("content")
msg.append(v)
return render(request,"comment.html")
def index(request):
return render(request,"index.html",{"msg":msg})########################################################
def test(request):
from django.utils.safestring import mark_safe
temp = "<a href='http://www.baidu.com'>百度</a>"
newtemp = mark_safe(temp) #這里相當于加了 |safe �,把字符串認為是安全的��,執行代碼,如果不加 test.html里面 {{ temp }} 就只會顯示出字符串�,而不是 a 標簽
return render(request,'test.html',{'temp':newtemp})urls.py
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'^index/', views.index),
url(r'^comment/',views.comment),
]
------------------------------------######################_-------------------------------
以下是做了用戶輸入判斷���,檢測是否有特殊字符
views.py
from django.shortcuts import render,HttpResponse
# Create your views here.
msg = []
def comment(request):
if request.method == "GET":
return render(request,"comment.html")
else:
v = request.POST.get("content")
if "script" in v:
return render(request, "comment.html",{'error':'小比崽子'})
else:
msg.append(v)
return render(request,'comment.html')
def index(request):
return render(request,"index.html",{"msg":msg})
index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h2>評論</h2>
{% for item in msg %}
<div>{{ item|safe }}</div>
{# <div>{{ item}}</div>#}
{% endfor %}
</body>
</html>
comment.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/comment/" method="POST">
<input type="text" name="content">
<input type="submit" value="提交">{{ error }}
</form>
</body>
</html>看完上述內容�,你們對使用Django實現防止XSS攻擊有進一步的了解嗎�����?如果還想了解更多知識或者相關內容����,請關注億速云行業資訊頻道���,感謝大家的支持��。
