【安全】(一)Django之XSS防御

已于 2022-02-28 19:36:56 修改
阅读量5k 收藏 1
点赞数
分类专栏: Django 文章标签: 安全 django xss python
于 2022-02-28 19:05:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wu_CaiMing/article/details/123188155
版权

1、XSS攻击

Cross-Site Scripting 的缩写。黑客通过提交脚本代码到服务器,恶意篡改正常用户的页面,从而获取正常用户的cookie等信息。

2、防护原理

        过滤输入和转义输出。对用户提交的数据进行严格的过滤和危险字符串的验证;在输出时对用户输入的信息进行html转义,使得其无法作为脚本执行。

3、XSS攻击成功的条件

        向web页面中注入恶意代码,这些代码能被浏览器成功执行。

4、Django XSS防护机制

        模板中Django中默认阻止了,以字符串的形式显示,例如:{{ name }}。以下几种方式会使Django取消防御:

①safe:{{ name|safe }};

②autoescape:{% autoescape off %}{{ name }}{% endautoescape %}

③mark_safe:from django.utils.safestring import mark_safe

         name=mark_safe(name)

④format_html: from django.utils.html import format_html

        format_html('<span>{}</span>', name)

        尽量不使用safe标记,若需要使用则应该先在后台对进行用户提交的数据进行转义处理。方法如下:

        from django.template.defaultfilters imort escape 

        name=escape(name)

5、我的防御方案

        ①在用户提交表单时首先对用户提交的数据进行危险字符串过滤和数据格式验证,而对于某些可能包含有“<”、">"等的数据进行转义,再存储到数据库中。

        ②在模板中尽量不适用safe标记,若需要使用首先要确保该数据不包含有用户提交的脚本代码或此处无法执行脚本代码。

                 

迷明小栈
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
django框架防止XSS注入的方法分析
09-19
主要介绍了django框架防止XSS注入的方法,结合实例形式分析了XSS攻击的原理及Django框架防止XSS攻击的相关操作技巧,需要的朋友可以参考下
Backend - Django CSRF 跨域请求伪造
是萝卜干呀的博客
01-29 952
知识量决定了未来能走多远
Djangoweb项目如何添加文章(富文本编辑器,xss攻击,批量导入,上传图片,修改头像)
weixin_44128416的博客
08-26 92
切去content的前150个字符(这样截取会得到html的前150个字符,带有标签的)切取处理过的数据,通过.text的方式。
django使用BeautifulSoup4库防止js的xss攻击
qq_45701131的博客
10-21 235
Beautiful Soup是python的一个库,最主要的功能是从网页抓取数据。官方解释如下: Beautiful Soup提供一些简单的、python式的函数用来处理导航、搜索、修改分析树等功能。 它是一个工具箱,通过解析文档为用户提供需要抓取的数据,因为简单,所以不需要多少代码就可以写出一个完整的应用程序。 这里我们再django中使用它来过滤用户提交文章中的script标签。用来防止用户编写JavaScript脚本攻击等。注意这个导入库与安装的库名略有差异。如果没有安装的话。安装命令为pip3
Django 防止 XSS 跨站脚本攻击
Rocky006的博客
12-21 1319
跨站脚本攻击(XSS)是 Web 应用中常见的安全漏洞,它允许攻击者在用户浏览器中执行恶意脚本。在 Django 开发中,了解并防御 XSS 攻击至关重要。本文将详细介绍 XSS 攻击的工作原理,Django 中的防御机制,以及如何在 Django 应用中实施有效的防御措施。
Django中,如何保护免受攻击?
2301_78316786的博客
07-10 394
例如,我们可以使用 permissions 模块来定义不同的权限级别,然后使用 login_required 和 permission_required 装饰器来控制对视图的访问。当然,这只是一个开始。虽然 Django 的 ORm 系统会自动为我们的查询和修改操作生成安全的 SQL 语句,但是有时候我们可能需要手动编写 SQL 语句。这个过程包括对代码的审查、对配置的审查、对日志的审查和对漏洞的修补。例如,如果我们的应用需要用户输入一个年龄,那么我们需要确保这个输入是一个合法的数字,而不是一段恶意代码。
Django防止XSS攻击的几种方式
u011300968的博客
07-19 8110
一、什么是XSS攻击 XSS即跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 二、防止XSS攻击的两种方式 1、对单一变量逐个进行转义过滤。利用{% autoescape off|on %}。 2、利用django的HTML自动转义,无需autoescape 标签,django中的HTML文档会自动转义。< 转化
Django | 安全防护】防止XSS跨站脚本攻击
计算机魔术师的blog
08-18 805
假设我是一名攻击者🐱‍👤 xxs原理:攻击者将自己的个人信息填写上javascript脚本,那么我们作为用户去查看字段时,会直接渲染 信息内容,此时就会运行攻击脚本script进行发送信息,删除用户等操作......
Django-网络安全-xss和csrf
lxyker的博客
02-21 276
xss攻击 情景引入: 在一篇博客的评论中,有人提交了这样的评论: <script> alert('sb'); <script> 评论会被保存在数据库中,当其他用户访问这个页面时,会自动跳出弹窗sb。这就是xss攻击(跨站脚本攻击)。 如果没有防范,这种方式可以获取客户端cookie,然后以你的身份进行其他恶意操作。 示例 用comment.html表示用户提交评论的...
DjangoXSS攻击
weixin_30568715的博客
08-06 365
DjangoXSS攻击   XSS是什么:XSS是跨站脚本攻击。   XSS可以获取用户的信息,比如登录凭证Cookie,那样就可以登录用户的账号,但是在django中,XSS 是默认阻止的。因为在django中,a标签是字符串类型的。   比如在评论中提叫script的代码,会以字符串的形式显示出来。   views.py msg = [] def commen...
Django如何实现防止XSS攻击
12-16
一、什么是XSS攻击 xss攻击:—–>web注入   xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。   我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 PS: 把用户输入的数据以安全的形式显示,那只能是在页面上显示字符串。 django框架中给数据标记安全方式显示(但
使用Django简单编写一个XSS平台的方法步骤
09-19
主要介绍了使用Django简单编写一个XSS平台的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django-xss-cleaner:Django XSS 清理器
07-07
这个类是你的 django 应用程序的 XSS 清理器。 这个类在“ ”地址中再次编写为Django版本的Php函数。 如果您想查看更多信息。 请点击
Django-XSS-Platform
04-27
使用Django打造属于自己的XSS平台地址环境python3库文件requestsdjango2pymysql说明前端采用开源Bootstarp模板,后端使用Django打造而成。功能邮件提醒Cookie活性保持多用户模式TODO添加多个Payload配置大部分配置...
保护通信的双重安全:消息认证与身份认证
JAZJD的博客
04-28 1268
在网络通信中,散列函数扮演着至关重要的角色。散列函数是一种将任意长度的数据转换成固定长度散列值的算法。这种转换过程是单向的,即无法通过散列值逆向推导出原始数据。常见的散列函数包括MD5、SHA-1和SHA-256等。例如,SHA-256能够将任意长度的数据转换成256位的散列值,具有较高的安全性和抗碰撞性。消息认证是确保通信数据完整性和真实性的重要手段。通过在数据中添加消息认证码(MAC),可以防止数据被篡改或伪造。常见的消息认证算法包括HMAC(基于散列的消息认证码)和CMAC(密码消息认证码)等。
PHP医疗不良事件上报系统源码 AEMS开发工具vscode+ laravel8 医院安全(不良)事件报告系统源码 可提供演示
最新发布
zmm201453的博客
05-04 323
医院安全不良事件报告系统(AEMS);分为外部报告系统和内部报告系统两类。内部报告系统主要以个人为报告单位,由医院护理主管部门自行管理的报告系统。外部报告系统主要以医院护理主管部门为报告单位,由卫生行政部门或行业组织管理的报告 系统。
CNCERT:关于汽车数据处理4项安全要求检测情况的通报 (第一批)
南七小僧的学海无涯
04-30 1087
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
IC设计数据传输 如何能保障安全高效?
文件数据安全交换
04-29 929
因此,IC设计企业需要采取严格的数据保护措施,包括使用安全的文件传输解决方案,适合半导体、集成电路行业的解决方案,就是Ftrans飞驰云联的《Ftrans集成电路行业文件交换整体解决方案》,通过高性能高可靠的文件传输技术,帮助研发型组织积极应对非结构化数据量和业务量激增带来的挑战,提供稳定可靠、安全可控的IC设计数据传输文件交换平台和基础设施,保障用户关键业务的高效运行。提供统一的用户跨网文件交换方式,构建企业内部统一、安全的跨网文件交换通道,终结了多工具、系统并行使用的问题,实现文件交换行为的集中管控。
django xss攻击
09-20
Django框架具有内置的XSS防御机制,可以在模板中自动转义所有HTML字符,从而防止XSS攻击。但是,有一些情况下,开发者需要手动将变量或字符串进行转义,比如在JavaScript代码中使用Django模板变量时,需要使用Django提供的safe过滤器,避免被转义。 除此之外,开发者还可以采取以下措施防止XSS攻击: 1. 对用户的输入进行过滤和验证,只接受合法的输入; 2. 不要将用户输入的数据直接渲染到HTML模板中,而是使用Django提供的转义机制; 3. 在发送Cookie时设置httpOnly属性,避免JavaScript读取Cookie; 4. 在使用跨站脚本攻击防御机制时,不要过分依赖客户端验证,应该在服务器端进行验证和过滤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

迷明小栈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值