富文本编辑框和防止xss攻击

最新推荐文章于 2024-04-02 16:22:30 发布
最新推荐文章于 2024-04-02 16:22:30 发布
阅读量4.6k 收藏 4
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hqs2212586/article/details/86582394
版权
本文介绍了如何在后台管理系统中构建富文本编辑器,重点讲解了KindEditor的引入与使用,包括编辑器配置、上传功能实现、处理用户上传文件及显示信息。同时,文章探讨了使用Beautiful Soup库解决摘要截取问题,并展示了如何利用该库防御XSS攻击,确保用户内容安全。
摘要由CSDN通过智能技术生成

富文本编辑框和防止xss攻击

一、后台管理页面构建

 1、创建后台管理url

urlpatterns = [
    ...
    # 后台管理url
    re_path("cn_backend/$", views.cn_backend),
    re_path("cn_backend/add_article/$", views.add_article),
    ...
]

2、构造视图函数

from django.contrib.auth.decorators import login_required  # 装饰器:login_required()

@login_required
def cn_backend(request):
    """
    后台管理页面
    :param request:
    :return:
    """
    # 当前登录人发布过得文章列表
    article_list = models.Article.objects.filter(user=request.user)

    return render(request, "backend/backend.html", locals())

@login_required
def add_article(request):
    """
    后台管理添加文章视图函数
    :param request:
    :return:
    """
    if request.method == "POST":
        title = request.POST.get("title")
        content = request.POST.get("content")
        # 生成article对象
        models.Article.objects.create(title=title, content=content, user=request.user)
        return redirect("/cn_backend/")

    return render(request, "backend/add_article.html")

3、在templates目录下创建backend子目录,构建模板

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>博客后台管理 - 博客园</title>
    <!-- 引入 Bootstrap 核心 CSS 文件 -->
    <link rel="stylesheet" href="/static/blog/bootstrap-3.3.7/css/bootstrap.css">
    <!-- jQuery (Bootstrap 的所有 JavaScript 插件都依赖 jQuery,所以必须放在前边) -->
    <script src="/static/js/jquery-3.3.1.js"></script>
    <!-- 引入 Bootstrap 核心 JavaScript 文件 -->
    <script src="/static/blog/bootstrap-3.3.7/js/bootstrap.js"></script> <!--依赖jquery-->
    <link rel="stylesheet" href="/static/blog/css/backend.css">
</head>
<body>

<div class="header">
    <p class="title">
        后台管理

        <a class="info" href="/logout/">注销</a>
        <span class="info"><span class="glyphicon glyphicon-user"></span>&nbsp;&nbsp;{
      { request.user.username }}</span>
    </p>
</div>


<div class="container">
    <div class="col-md-3">
        <div class="panel-group" id="accordion" role="tablist" aria-multiselectable="true">
            <div class="panel panel-default">
                <div class="panel-heading" role="tab" id="headingOne">
                    <h4 class="panel-title">
                        <a role="button" data-toggle="collapse" data-parent="#accordion" href="#collapseOne"
                           aria-expanded="true" aria-controls="collapseOne">
                            操作
                        </a>
                    </h4>
                </div>
                <div id="collapseOne" class="panel-collapse collapse in" role="tabpanel" aria-labelledby="headingOne">
                    <div class="panel-body">
                        <!--添加文章url跳转-->
                        <p><a href="/cn_backend/add_article/">添加文章</a
最低0.47元/天 解锁文章
休耕
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
富文本编辑器过滤XSS攻击
最爱桃子的阿狸
05-16 9685
1.后台添加过滤器&lt;!-- 防止CSS跨站脚本攻击: 本参数仅对各标签库生效如spring taglib/jstl/freemarker等 --&gt; &lt;context-param&gt; &lt;param-name&gt;defaultHtmlEscape&lt;/param-name&gt; &lt;param-value&gt;true&lt;/param-v...
前端安全系列(一):如何防止XSS攻击
最新发布
Karka_的博客
07-05 950
Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
富文本编辑器防xss攻击
热门推荐
changhuzhao的专栏
05-18 1万+
富文本编辑器防xss攻击在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。 对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找: 推荐使用UEditor 使用ESAPI
XSS(跨站攻击)的防范利器HTMLPurifier
weixin_39801446的博客
04-18 317
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。 ...
富文本编辑器防止XSS攻击
lijingyu001的博客
04-02 778
vue.condig.js中配置。
java 富文本 xss_Jsoup 防止富文本 XSS 攻击
weixin_39836726的博客
02-16 1088
服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其中的 JS 代码, 在 Java 中使用 Jsoup 正好可以满足此要求实现原理Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTML 代码中,** 只能存在 p 标签 **, 其他标签将会被清...
java 富文本 过滤xss_富文本XSS过滤
weixin_33575756的博客
02-24 1590
富文本内容要替换掉js代码主要防止xss,不是防止注入,防注入参数化写数据库就好了,或者将单引号替换为实体对象在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒...
java 富文本 xss_个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范...
weixin_39664010的博客
02-16 1175
昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷……其实攻击者进攻的手法很简单,没啥技术含量。只能感叹自己之前竟然完全没防范。这是数据库里留下的一些记录。最后那人弄了一个无限循环弹出框的脚本,估计这个脚本之后他再想输入也没法了。类似这种:我立刻认识到这事件严重性,它说明我的博客有严重安全问题。因为xss跨站脚本攻击可能导致用户Cookie甚至服务器Session用户信息被劫持,后果严重。虽然攻击...
富文本提交数据到后台防止xss攻击
这是随心创作的博主
04-23 2322
StringEscapeUtils.unescapeHtml的使用 富文本提交数据到后台后,保存到数据库的格式可能是这样的: &lt;p&gt;【产品名称】艾酷维多种维生素锌软糖&lt;/p&gt; 我们有时候需要的是: <p>【产品名称】艾酷维多种维生素锌软糖</p> 所以就需要用到StringEscapeUtils类进行转义和反转义 public static void main(String[] args) { ...
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
php富文本防止xss,允许用户做富文本编辑的站点要怎么防 XSS
weixin_30335379的博客
04-01 612
42019-03-12 10:26:10 +08:00参考下```java// 预编译 XSS 过滤正则表达式private static List xssPatterns = ListUtils.newArrayList(Pattern.compile("(|))|(\\s*(script|link|style|iframe)\\s*>)", Pattern.CASE_INSENSITIV...
富文本输出如何避免XSS
jimmyleeee的专栏
05-12 3229
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理。
ueditor java xss_富文本编辑器防xss攻击
weixin_39759995的博客
02-25 908
在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找:推荐使用UEditor使用ESAPI推荐使用UEditor在多个项目中使用了UEditor,在使用上比较顺手,而且它一...
vue使用dompurify进行delta格式的富文本解决潜在的XSS攻击
weixin_54931655的博客
07-07 1549
它可以轻松地将可能存在风险的HTML标签和属性过滤掉,从而确保展示在用户浏览器上的内容是安全的。总之,Delta富文本内容存储媒介是一种非常方便的富文本编辑器数据格式,但其中存在潜在的XSS攻击风险。在前端Vue中使用dompurify库进行HTML转换和过滤可以有效地解决这个问题,确保展示在用户浏览器上的内容是安全的。在这个示例代码中,使用DOMPurify库的sanitize方法对从Delta格式转换而来的HTML字符串进行过滤,确保其中不存在恶意脚本。首先,需要安装dompurify库。
前端安全之防范XSS
高先生的猫
06-06 2899
由于前段时间业务有接触到富文本编辑器,且编辑器由用户直接使用,所以不可避免需要对其涉及到的XSS防护有所了解,因此对XSS防护做一个实战小结。 前言 XSS大部分前端coder都不会陌生,全称:跨站脚本漏洞(Cross Site Scripting,简写作XSS)是Web应用程序在将数据输出或者展示到网页的时候存在问题,导致攻击者可以将对网站的正常功能造成影响甚至窃取或篡改用户个人信息,其诱发的主要原因是没有针对用户输入来源的数据以及不可信数据源的过滤。本文将针对XSS进行简单的归类总结,并且提供.
富文本场景下的 XSS
neal1991的专栏
09-05 2432
富文本编辑器是一个常见的业务场景,一般来说,通过富文本编辑器编辑的内容最终也会 html 的形式来进行渲染,比如 VUE,一般就会使用v-html来承载富文本编辑的内容。因为文本内容需...
8. 博客系统| 富文本编辑框和基于bs4模块防御xss攻击
weixin_30855761的博客
08-08 108
views.py @login_required def cn_backend(request): article_list = models.Article.objects.filter(user=request.user) return render(request, "backend/backend.html", locals()) @login...
配置CKEDITOR与CKFINDER集成富文本编辑
本文主要介绍了如何在 MVC 框架中配置 CKEDITOR 和 CKFINDER,以实现富文本编辑器的功能,并解决 IE 浏览器下读取目录的问题。 CKEDITOR 是一款流行的开源富文本编辑器,而 CKFINDER 是与之配套的文件管理器,允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值