Django XSS攻擊
阿新 • • 發佈:2018-02-05
導入 代碼植入 頁面 article zed esc 現在 escape ofo 一、什麽是XSS攻擊
XSS即跨站腳本攻擊,XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。 xss攻擊允許用戶註入客戶端腳本到其他用戶的服務器上。通常通過存儲惡意腳本到數據庫,其他用戶通過數據庫獲取惡意腳本,並在瀏覽器上呈現;或是使用戶點擊會引起攻擊者javascirpt腳本在用戶客戶端的連接來達到目的。但是xss攻擊可能發生在任意不可信的數據源頭,例如cookie和web service。無論何時,只要數據在頁面內沒有充分地消毒(sanitized),就可能發生xss攻擊。
二、防止XSS攻擊的兩種方式
1、對單一變量進行轉義過濾。可以使用escape過濾器,無需轉義時使用safe過濾器
PS: 把用戶輸入的數據以安全的形式顯示,那只能是在頁面上顯示字符串。
django框架中給數據標記安全方式顯示(但這種操作是不安全的!):
- 模版頁面上對拿到的數據後寫上safe. ----> {{XXXX|safe}}
- 在後臺導入模塊:from django.utils.safestring import mark_safe
把要傳給頁面的字符串做安全處理 ----> s = mark_safe(s)
好的文章:https://www.cnblogs.com/zh605929205/articles/7103796.html
Django XSS攻擊