XSS过滤 与 单例模式

最新推荐文章于 2024-02-20 14:38:50 发布
最新推荐文章于 2024-02-20 14:38:50 发布
阅读量1k 收藏 1
点赞数
分类专栏: Django Python开发 文章标签: XSS过滤 单例模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fgf00/article/details/60134384
版权

一、XSS过滤

像在KindEditor里,富文本编辑框,写入类似“<script>alert(123)</script>”,编辑框会给过滤掉。但如果选择源码编辑,写入如上代码,就过滤不了了。实现了XSS攻击。

1、解决办法:对特殊字符进行处理。

pip3 install beatifulsoup4,这个模块会生成对象,find方法找指定的标签

from bs4 import BeautifulSoup

content="""     # 需要进行XSS过滤的内容
<p class='c1' id='i1'>
    asdfaa<span style="font-family:NSimSun;">sdf<a>a</a>sdf</span>sdf
</p>
<p>
    <strong class='c2' id='i2'>asdf</strong>
    <script>alert(123)</script>
</p>
<h2>
    asdf
</h2>
"""

soup = BeautifulSoup(content, 'html.parser')  # html.parser 指定解析器
tag = soup.find('script')  # 找script标签
tag.hidden = True  # TRUE:清空内容和标签; False:之清空内容
tag.clear()  # 找到的标签清空

# 删除某个标签的属性
span = soup.find('span')
# print(span.attrs)
del span.attrs['style']

2、另外一种方法通过白名单实现:

# tags = {'p', 'strong'}  # 定义白名单
tags = {
    'p': ['class'],
    'strong': ['id',]
}
from bs4 import BeautifulSoup
soup = BeautifulSoup(content, 'html.parser')

for tag in soup.find_all():
    if tag.name in tags:
        pass
    else:
        tag.hidden = True
        tag.clear()
        continue
    # 用户提交标签的所有属性
    input_attrs = tag.attrs      # {'class': 'c1', 'id': 'i1'}
    valid_attrs = tags[tag.name] # ['class']
    for k in list(input_attrs.keys()):
        if k in valid_attrs:
            pass
        else:
            del tag.attrs[k]

content = soup.decode()
print(content)

这里需要注意的点:删除dict的key值时:

dic = {'k1':'v1', 'k2':'v2', 'k3':'v3'}

for k,v in dic.items():
    if k == 'k2':
        del dic[k]
# 开始程序判断迭代三次、删除后迭代两次,迭代乱了,会报错。
# 所有迭代过程中,都不允许删除本身元素。
# 正确如下:
for k,v in list(dic.keys()):  # Python3 dic.keys是迭代器,list转成列表
    if k == 'k2':
        del dic[k]

完整示例:

#!/usr/bin/env python
# -*- coding:utf-8 -*-
from bs4 import BeautifulSoup


class XSSFilter(object):
    __instance = None

    def __init__(self):
        # XSS白名单
        self.valid_tags = {
            "font": ['color', 'size', 'face', 'style'],
            'b': [],
            'div': [],
            "span": [],
            "table": [
                'border', 'cellspacing', 'cellpadding'
            ],
            'th': [
                'colspan', 'rowspan'
            ],
            'td': [
                'colspan', 'rowspan'
            ],
            "a": ['href', 'target', 'name'],
            "img": ['src', 'alt', 'title'],
            'p': [
                'align'
            ],
            "pre": ['class'],
            "hr": ['class'],
            'strong': []
        }

    def __new__(cls, *args, **kwargs):
        """
        单例模式
        :param cls:
        :param args:
        :param kwargs:
        :return:
        """
        if not cls.__instance:
            obj = object.__new__(cls, *args, **kwargs)
            cls.__instance = obj
        return cls.__instance

    def process(self, content):
        soup = BeautifulSoup(content, 'html.parser')
        # 遍历所有HTML标签
        for tag in soup.find_all(recursive=True):
            # 判断标签名是否在白名单中
            if tag.name not in self.valid_tags:
                tag.hidden = True
                if tag.name not in ['html', 'body']:
                    tag.hidden = True
                    tag.clear()
                continue
            # 当前标签的所有属性白名单
            attr_rules = self.valid_tags[tag.name]
            keys = list(tag.attrs.keys())
            for key in keys:
                if key not in attr_rules:
                    del tag[key]

        return soup.decode()


if __name__ == '__main__':
    html = """<p class="title">
                        <b>The Dormouse's story</b>
                    </p>
                    <p class="story">
                        <div name='root'>
                            Once upon a time there were three little sisters; and their names were
                            <a href="http://example.com/elsie" class="sister c1" style='color:red;background-color:green;' id="link1"><!-- Elsie --></a>
                            <a href="http://example.com/lacie" class="sister" id="link2">Lacie</a> and
                            <a href="http://example.com/tillie" class="sister" id="link3">Tilffffffffffffflie</a>;
                            and they lived at the bottom of a well.
                            <script>alert(123)</script>
                        </div>
                    </p>
                    <p class="story">...</p>"""

    obj = XSSFilter()
    v = obj.process(html)
    print(v)

二、单例模式

一个类,创建三个对象占得内存多还是创建一个对象占得多?

像上面的每次过滤都需要创建一个对象,白名单是不变的。所用只用一个对象做这个操作,就是单例模式

class Foo(object):
    instance = None

    def __init__(self):
        self.name = 'alex'

    def __new__(cls, *args, **kwargs):
        if Foo.instance:
            return Foo.instance
        else:
             Foo.instance = object.__new__(cls, *args, **kwargs)
             return Foo.instance

obj1 = Foo()
obj2 = Foo()
print(id(obj1),id(obj2))

转载请务必保留此出处:http://blog.csdn.net/fgf00/article/details/60134384

凌_风
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
filter java 是单例的吗_Java Web总结十九Filter过滤
weixin_35648264的博客
03-04 475
一、Filter简介Filter也称之为过滤器,它是Servlet技术中最激动人心的技术,Web开发人员通过Filter技术,对Web服务器管理的所有Web资源:例如Jsp,Servlet,静态图片文件或静态HTML文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、自动登录、压缩响应信息等一些高级功能。ServletAPI中提供了一个Filter接口,开发We...
xss攻击模式
酷狗直播-锦凡歆的博客
12-22 232
作者: 锦凡歆在‘来疯’直播唱歌最好听 xss是js脚本,只要js脚本运行,就造成xss攻击。被动攻击方式。等待着对方来触发。 1、黑客将恶意代码载入到服务器端。服务器端一直在运行,等待着客户端发送请求。 2、客户端向服务器端发送请求。 3、服务器端向客户端载入代码。 4、客户端发现有xss恶意代码,或js脚本,就会运行。触发代码。 ...
单例模式、递归、File类、FileFilter过滤
YuanGuoHong的知识库
08-19 319
单例模式 单例模式概述: 类在程序运行过程中有且只有一个对象。 类必须要私有的构造方法。 类必须是提供一个静态方法返回该类的单例对象。 提问:  为什么要把构造方法用private修饰: 不能让别人用new方法来创建多个对象。若要调用对象,可以在类里面先生成一个对象,然后写一个public static方法把这个对象return出去。 单例实现方式: 1)饿汉式模式: ...
单例模式的理解
许珊珊同学的专栏
04-11 228
创建一个类 对其实例化对象 对象有且只能有一个所有的实例化出来的都是同一个对象 原因是在创建该类的时候进行了判断,若存在其实例化对象则返回那个对象,若不存在则new一个并返回, 所以一旦实例化对象创建就一直使用同一个对象var Singleton=(function(){//创建一个类 var instantiated; function init(){ /*
kindedit编辑器和xxs攻击防护(BeautifulSoup)的简单使用
weixin_30877181的博客
06-03 99
一、kindedit编辑器 就是上面这样的编辑输入文本的一个编辑器 这也是一个插件。那么怎么用呢? 1、下载:百度kindedit 2、引入: <script src="/static/kindeditor/kindeditor-all.js"></script> 3、看官方提供的文档 在addarticle.html中 ...
第25周-第08章节-Python3.5-XSS过滤以及单例模式.avi
02-10
第25周-第08章节-Python3.5-XSS过滤以及单例模式.avi
对字符串进行过滤的工具
04-15
7. **设计模式**:为了提高代码的可读性和可维护性,开发者可能会采用如工厂模式、单例模式等设计模式。 通过阅读和分析这个开源工具的源代码,开发者可以学习到如何高效地处理和过滤字符串,以及如何在.NET 3.5...
Angular1.x安装与配置1
08-03
3. **控制器**:控制器是与特定作用域关联的JavaScript函数,用于管理应用逻辑。 4. **服务**:提供了一组内置服务,如$http用于处理HTTP请求,且支持依赖注入,确保服务在整个应用中是单例的。 5. **过滤器**:允许...
php-interviews:PHP 面试题与解答
05-12
12. **PHP设计模式**:熟悉单例、工厂、观察者、装饰器等常见设计模式,并能在实际开发中灵活运用。 13. **PHP与Web服务**:理解RESTful API的设计原则,以及如何使用PHP构建和消费API。 14. **PHP的版本迭代**:...
java 反射技术 设计模式 spring security 安全管理手册
12-22
在Java中,常见的设计模式包括工厂模式、单例模式、装饰器模式、代理模式、观察者模式等。例如,工厂模式提供了一种创建对象的最佳方式,而单例模式确保一个类只有一个实例。设计模式的应用能够提高代码的可读性、可...
kindEditor使用并防止xss攻击(day88)
weixin_33836874的博客
06-08 567
过滤关键字防范xss 参考博客 # pip3 install beautifulsoup4 from bs4 import BeautifulSoup def xss(old): """ 防范xss攻击,过滤关键字符串。 :param old: 用户提交的博文内容或字符串 :return: new_str,返回合法的字符 ...
Django 富文本编辑框kindeditor、生成摘要 与 防XSS攻击
Zok的博客
08-30 597
富文本编辑框kindeditor 基础使用方法可以在官网查看 pip3 install BeautifulSoup4 # 1 scritp 引入路径 # 2 利用文档加参数 # 3 摘要自动生成,用文本截摘要(不能用上传的content!!,因为含有标签) from bs4 import BeautifulSoup soup = BeautifulSoup('包含标签的字符串', 'ht...
漏洞挖掘 | 编辑器漏洞之kindeditor
最新发布
hackzkaq的博客
02-20 1717
可能手法比较老,毕竟也不能否定他的存在。渗透测试的核心讲究测试嘛。希望这篇文章对一直探索的我们有所帮助。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
java 富文本 xss_KindEditor开源富文本编辑框架XSS漏洞
weixin_35703673的博客
02-24 758
原标题:KindEditor开源富文本编辑框架XSS漏洞*原创作者:卫士通 安全服务事业部 天龙,叶龙,本文属FreeBuf原创奖励计划,未经许可禁止转载0×01 前言KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。KindEditor 使...
百度Ueditor编辑器的Html模式自动替换样式的解决方法
zhangyunpengchang的专栏
12-27 8986
百度的Ueditor编辑器出于安全性考虑,用户在html模式下粘贴进去的html文档会自动被去除样式和转义。虽然安全的,但是非常不方便。 打开ueditor.config.js做出如下修改即可: // xss 过滤是否开启,inserthtml等操作 xssFilterRules: false //input xss过滤 inputXssFilter: false //output x
XSS过滤速查表
Fizz`s Blog
11-12 2941
初见于Freebuf,放在这里收藏一下。 就是OWASP的速查表 不过是中文的 1.介绍 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到OWASP网站,将由OWASP维护和完善它。OWASP
KindEditor
******* ▄︻┻┳═一 *******
08-11 687
官网: http://kindeditor.net/demo.php 官网下载:http://kindeditor.net/down.php 官网文档:http://kindeditor.net/docs/option.html 一、文件夹说明 ├── asp asp示例 ├── asp.net asp....
js 前端防xss攻击——百度UEditor解决方案
两只橙的博客
11-02 9643
xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。  大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根
Springboot xss过滤
07-28
回答: 在Spring Boot中实现XSS过滤可以通过创建自定义过滤器来实现。首先,在Spring Boot启动类中添加过滤器扫描的注解`@ServletComponentScan("com.cpic.config.xss")`,这个注解指定了自定义过滤器的位置。同时,还需要在启动类上添加`@WebFilter`注解来指定过滤器的名称和URL模式。具体的过滤逻辑可以在自定义过滤器的`doFilter`方法中实现。\[1\]\[2\] 在过滤器中,可以使用`XssHttpServletRequestWrapper`来对请求进行包装,以实现XSS过滤的功能。这个包装类可以对请求参数进行过滤,包括表单传值(`@RequestParam`)和URL传参(`@PathVariable`)。\[2\] 需要注意的是,Spring Boot中常见的接收参数方式有三种:`@RequestParam`、`@PathVariable`和`@RequestBody`。对于表单传值(`@RequestParam`),可以通过过滤器来进行XSS过滤。\[3\] 综上所述,可以通过创建自定义过滤器来实现Spring Boot中的XSS过滤。在过滤器中对请求进行包装,并对表单传值进行过滤,以防止XSS攻击的发生。 #### 引用[.reference_title] - *1* *2* *3* [Springboot过滤xss](https://blog.csdn.net/Time_Point/article/details/116162806)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值