Django如何实现防止XSS攻击

2023-07-14 02:21:04 84

一、什么是XSS攻击

xss攻击：----->web注入

xss跨站脚本攻击（Crosssitescript，简称xss）是一种“HTML注入”，由于攻击的脚本多数时候是跨域的，所以称之为“跨域脚本”。

我们常常听到“注入”（Injection），如SQL注入，那么到底“注入”是什么？注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此，XSS也如此，只不过XSS一般注入的是恶意的脚本代码，这些脚本代码可以用来获取合法用户的数据，如Cookie信息。

PS：把用户输入的数据以安全的形式显示，那只能是在页面上显示字符串。

django框架中给数据标记安全方式显示(但这种操作是不安全的！)：

-模版页面上对拿到的数据后写上safe.---->{{XXXX|safe}}
-在后台导入模块：fromdjango.utils.safestringimportmark_safe

把要传给页面的字符串做安全处理---->s=mark_safe(s)

二、测试代码

实施XSS攻击需要具备两个条件：

一、需要向web页面注入恶意代码；

二、这些恶意代码能够被浏览器成功的执行。

解决办法：

1、一种方法是在表单提交或者url参数传递前，对需要的参数进行过滤。

2、在后台对从数据库获取的字符串数据进行过滤，判断关键字。

3、设置安全机制。

django框架：内部机制默认阻止了。它会判定传入的字符串是不安全的，就不会渲染而以字符串的形式显示。如果手贱写了safe，那就危险了，若想使用safe,那就必须在后台对要渲染的字符串做过滤了。所以在开发的时候，一定要慎用安全机制。尤其是对用户可以提交的并能渲染的内容！！！

这里是不存在xss漏洞的写法，因为django已经做了防攻击措施

index.html





Title



评论
{%foriteminmsg%}
{#{{item|safe}}
#}#这里被注释的，是因为，|safe加了这个就认为是安全的了，写入就会恶意加载
{{item}}
{%endfor%}

conment.html





Title

views.py

fromdjango.shortcutsimportrender,HttpResponse

#Createyourviewshere.
msg=[]

defcomment(request):
ifrequest.method=="GET":
returnrender(request,"comment.html")
else:
v=request.POST.get("content")
msg.append(v)
returnrender(request,"comment.html")
defindex(request):
returnrender(request,"index.html",{"msg":msg})########################################################
deftest(request):
fromdjango.utils.safestringimportmark_safe
temp="百度"
newtemp=mark_safe(temp)#这里相当于加了|safe，把字符串认为是安全的，执行代码,如果不加test.html里面{{temp}}就只会显示出字符串，而不是a标签
returnrender(request,'test.html',{'temp':newtemp})

urls.py

fromapp01importviews
urlpatterns=[
url(r'^admin/',admin.site.urls),
url(r'^index/',views.index),
url(r'^comment/',views.comment),
]

------------------------------------######################_-------------------------------

以下是做了用户输入判断，检测是否有特殊字符

views.py

fromdjango.shortcutsimportrender,HttpResponse

#Createyourviewshere.
msg=[]

defcomment(request):
ifrequest.method=="GET":
returnrender(request,"comment.html")
else:
v=request.POST.get("content")
if"script"inv:
returnrender(request,"comment.html",{'error':'小比崽子'})
else:
msg.append(v)
returnrender(request,'comment.html')
defindex(request):
returnrender(request,"index.html",{"msg":msg})

index.html





Title



评论
{%foriteminmsg%}
{{item|safe}}
{#{{item}}#}
{%endfor%}

comment.html





Title





{{error}}

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持毛票票。

声明：本文内容来源于网络，版权归原作者所有，内容由互联网用户自发贡献自行上传，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任。如果您发现有涉嫌版权的内容，欢迎发送邮件至：czq8825#qq.com（发邮件时，请将#更换为@）进行举报，并提供相关证据，一经查实，本站将立刻删除涉嫌侵权内容。

Django如何实现防止XSS攻击

评论

评论

热门推荐

随机推荐