Python Django开发中XSS内容过滤问题的解决

最新推荐文章于 2024-04-30 06:30:00 发布
最新推荐文章于 2024-04-30 06:30:00 发布
阅读量3.4k 收藏
点赞数 1
分类专栏: 技术 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dipolar/article/details/9451149
版权

from:http://stackoverflow.com/questions/699468/python-html-sanitizer-scrubber-filter

通过下面这个代码就可以把内容过滤成干净的HTML内容,说明,这个代码来自上面Stackoverflow的回答

Use lxml.html.clean! It's VERY easy!

from lxml.html.clean import clean_html
print clean_html(html)

Suppose the following html:

html = '''\
<html>
 <head>
   <script type="text/javascript" src="evil-site"></script>
   <link rel="alternate" type="text/rss" src="evil-rss">
   <style>
     body {background-image: url(javascript:do_evil)};
     div {color: expression(evil)};
   </style>
 </head>
 <body onload="evil_function()">
    <!-- I am interpreted for EVIL! -->
   <a href="javascript:evil_function()">a link</a>
   <a href="#" onclick="evil_function()">another link</a>
   <p onclick="evil_function()">a paragraph</p>
   <div style="display: none">secret EVIL!</div>
   <object> of EVIL! </object>
   <iframe src="evil-site"></iframe>
   <form action="evil-site">
     Password: <input type="password" name="password">
   </form>
   <blink>annoying EVIL!</blink>
   <a href="evil-site">spam spam SPAM!</a>
   <image src="evil!">
 </body>
</html>'''

The results...

<html>
  <body>
    <div>
      <style>/* deleted */</style>
      <a href="">a link</a>
      <a href="#">another link</a>
      <p>a paragraph</p>
      <div>secret EVIL!</div>
      of EVIL!
      Password:
      annoying EVIL!
      <a href="evil-site">spam spam SPAM!</a>
      <img src="evil!">
    </div>
  </body>
</html>

You can customize the elements you want to clean and whatnot.

关于Web开发中的安全过滤问题,摘引一下OWASP的ESAPI( http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/index.html )的过滤方法接口列表,以供大家有所参考:

java.lang.String canonicalize(java.lang.String input) 
          This method is equivalent to calling
 java.lang.String canonicalize(java.lang.String input, boolean strict) 
          This method is the equivalent to calling
 java.lang.String canonicalize(java.lang.String input, boolean restrictMultiple, boolean restrictMixed) 
          Canonicalization is simply the operation of reducing a possibly encoded string down to its simplest form.
 java.lang.String decodeForHTML(java.lang.String input) 
          Decodes HTML entities.
 byte[] decodeFromBase64(java.lang.String input) 
          Decode data encoded with BASE-64 encoding.
 java.lang.String decodeFromURL(java.lang.String input) 
          Decode from URL.
 java.lang.String encodeForBase64(byte[] input, boolean wrap) 
          Encode for Base64.
 java.lang.String encodeForCSS(java.lang.String input) 
          Encode data for use in Cascading Style Sheets (CSS) content.
 java.lang.String encodeForDN(java.lang.String input) 
          Encode data for use in an LDAP distinguished name.
 java.lang.String encodeForHTML(java.lang.String input) 
          Encode data for use in HTML using HTML entity encoding
 java.lang.String encodeForHTMLAttribute(java.lang.String input) 
          Encode data for use in HTML attributes.
 java.lang.String encodeForJavaScript(java.lang.String input) 
          Encode data for insertion inside a data value or function argument in JavaScript.
 java.lang.String encodeForLDAP(java.lang.String input) 
          Encode data for use in LDAP queries.
 java.lang.String encodeForOS(Codec codec, java.lang.String input) 
          Encode for an operating system command shell according to the selected codec (appropriate codecs include the WindowsCodec and UnixCodec).
 java.lang.String encodeForSQL(Codec codec, java.lang.String input) 
          Encode input for use in a SQL query, according to the selected codec (appropriate codecs include the MySQLCodec and OracleCodec).
 java.lang.String encodeForURL(java.lang.String input) 
          Encode for use in a URL.
 java.lang.String encodeForVBScript(java.lang.String input) 
          Encode data for insertion inside a data value in a Visual Basic script.
 java.lang.String encodeForXML(java.lang.String input) 
          Encode data for use in an XML element.
 java.lang.String encodeForXMLAttribute(java.lang.String input) 
          Encode data for use in an XML attribute.
 java.lang.String encodeForXPath(java.lang.String input) 
          Encode data for use in an XPath query.

「已注销」
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
推荐开源项目:Python-XSS-Filter - 安全防护的利器
gitblog_00082的博客
03-31 332
推荐开源项目:Python-XSS-Filter - 安全防护的利器 项目地址:https://gitcode.com/phith0n/python-xss-filter 项目简介 Python-XSS-Filter 是一个由开发者 Phith0n 制作的 Python 库,专门用于防范跨站脚本(XSS)攻击。该项目旨在帮助 Web 开发者轻松地对用户输入进行安全过滤,防止恶意代码注入,从而提升应...
python Django web 实训项目的实验报告
06-16
总结来说,本实训项目不仅涵盖了Django的基础使用,还涉及到Web开发的常见问题解决方案,如数据安全、页面交互、数据可视化和性能优化,为开发者提供了全面的实践平台。通过这样的项目,学生能够提升自己的...
django框架防止XSS注入的方法分析
09-19
主要介绍了django框架防止XSS注入的方法,结合实例形式分析了XSS攻击的原理及Django框架防止XSS攻击的相关操作技巧,需要的朋友可以参考下
Django项目的安全最佳实践:防止SQL注入和XSS攻击
最新发布
04-30 149
通过遵循这些安全最佳实践,你可以大大提高Django项目的安全性,防止SQL注入和XSS攻击。
【安全】(一)DjangoXSS防御
财迷的博客
02-28 5073
【安全防护】(一)Django的防护机制——XSS
反射型xss漏洞总结和python脚本复现
Azehng的博客
10-21 458
content访问该页面,并以GET方式给content参数赋值,页面响应如下当我们输入,页面响应如下上面就是xss漏洞的体现场景,也算一种注入漏洞。跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
Python库Bleach:保护应用免受XSS攻击
爱编程的鱼的博客
02-02 1029
在深入了解Bleach之前,让我们先了解一下什么是跨站脚本攻击(XSS)。XSS攻击是一种利用Web应用程序的漏洞来注入恶意脚本代码的攻击技术。攻击者可以通过在用户浏览器执行恶意脚本,窃取用户的敏感信息、篡改页面内容或执行其他恶意操作。XSS攻击通常分为三类:存储型XSS、反射型XSS和DOM-based XSS。存储型XSS将恶意脚本存储在目标服务器上,用户访问受感染的页面时会执行该脚本。反射型XSS将恶意脚本作为参数附加到受感染的URL,当用户点击包含恶意代码的链接时,恶意脚本会被执行。
python Django开发的健康分析系统.毕设 可直接运行
06-21
8. 安全性:Django框架提供了许多安全特性,如CSRF防护、XSS过滤等。开发者还需要确保敏感数据的加密存储,以及正确处理用户输入,防止SQL注入等攻击。 9. 性能优化:考虑到健康分析系统可能涉及大量数据处理,...
python DjangoWeb
01-26
Python Django Web开发,你需要了解以下几个核心概念和组件: 1. **模型(Models)**:这是与数据库交互的主要接口。在Django,你可以通过定义类来创建数据模型,这些类描述了数据库表的结构。Django的ORM...
python开发django
03-05
Python开发Django是一个深入探讨的话题,它涉及到Web开发领域的高效框架和编程语言的结合。Django,一个由Python编写的开源Web框架,以其...随着经验的积累,你将更加熟练地运用Django解决各种复杂问题,提升开发效率。
基于python+Django内容管理系统.zip
10-10
在毕业设计,使用Python+Django开发内容管理系统,学生可以深入理解Web开发的基本流程,学习如何组织项目结构、设计数据库模型、编写视图函数、渲染模板以及实现用户交互。同时,还能了解到版本控制、测试、部署等...
Python做安全测试攻击实战
测试萌萌
05-24 2314
在本文,我们将使用Python进行一次安全测试的实战演练,目标是找出并利用应用程序的安全漏洞。请注意,这个演练仅用于教育和研究目的,切勿将这些技术用于非法活动。 注意:未经授权的攻击是违法的。确保你在拥有明确权限的环境执行这些攻击,例如在你自己的应用或经过明确授权的应用上进行。
django使用BeautifulSoup4库防止js的xss攻击
qq_45701131的博客
10-21 245
Beautiful Soup是python的一个库,最主要的功能是从网页抓取数据。官方解释如下: Beautiful Soup提供一些简单的、python式的函数用来处理导航、搜索、修改分析树等功能。 它是一个工具箱,通过解析文档为用户提供需要抓取的数据,因为简单,所以不需要多少代码就可以写出一个完整的应用程序。 这里我们再django使用它来过滤用户提交文章的script标签。用来防止用户编写JavaScript脚本攻击等。注意这个导入库与安装的库名略有差异。如果没有安装的话。安装命令为pip3
Django 防止 XSS 跨站脚本攻击
Rocky006的博客
12-21 1418
跨站脚本攻击(XSS)是 Web 应用常见的安全漏洞,它允许攻击者在用户浏览器执行恶意脚本。在 Django 开发,了解并防御 XSS 攻击至关重要。本文将详细介绍 XSS 攻击的工作原理,Django 的防御机制,以及如何在 Django 应用实施有效的防御措施。
Django | 安全防护】防止XSS跨站脚本攻击
计算机魔术师的blog
08-18 827
假设我是一名攻击者🐱‍👤 xxs原理:攻击者将自己的个人信息填写上javascript脚本,那么我们作为用户去查看字段时,会直接渲染 信息内容,此时就会运行攻击脚本script进行发送信息,删除用户等操作......
Django-网络安全-xss和csrf
lxyker的博客
02-21 284
xss攻击 情景引入: 在一篇博客的评论,有人提交了这样的评论: <script> alert('sb'); <script> 评论会被保存在数据库,当其他用户访问这个页面时,会自动跳出弹窗sb。这就是xss攻击(跨站脚本攻击)。 如果没有防范,这种方式可以获取客户端cookie,然后以你的身份进行其他恶意操作。 示例 用comment.html表示用户提交评论的...
DjangoXSS攻击
weixin_30568715的博客
08-06 373
DjangoXSS攻击   XSS是什么:XSS是跨站脚本攻击。   XSS可以获取用户的信息,比如登录凭证Cookie,那样就可以登录用户的账号,但是在djangoXSS 是默认阻止的。因为在django,a标签是字符串类型的。   比如在评论提叫script的代码,会以字符串的形式显示出来。   views.py msg = [] def commen...
Python实现XSS扫描
YangYubo091699的博客
08-04 1582
Python实现XSS扫描。
python网站安全(一): XSS注入
stripe-python
06-12 1323
使用python详解了XSS注入的预防
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值