Django-网络安全-xss和csrf

最新推荐文章于 2024-05-01 10:00:00 发布
最新推荐文章于 2024-05-01 10:00:00 发布
阅读量284 收藏 1
点赞数
分类专栏: 笔记 文章标签: django python web html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxyker/article/details/104434798
版权

xss攻击

情景引入:
在一篇博客的评论中,有人提交了这样的评论:

<script>
	alert('sb');
<script>

评论会被保存在数据库中,当其他用户访问这个页面时,会自动跳出弹窗sb。这就是xss攻击(跨站脚本攻击)。
如果没有防范,这种方式可以获取客户端cookie,然后以你的身份进行其他恶意操作。

示例

  • 用comment.html表示用户提交评论的页面
  • cmt_list.html表示展示评论内容的页面
  • views.py中,用一个列表msg模拟评论的数据
  • 每当收到comment.html表单中的内容时,就将内容添加到msg中
  • 然后在cmt_list.html页面中展示出来

代码如下:

# comment.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>comment</title>
</head>
<body>
	<form action="/comment/" method="post">
	    {% csrf_token %}
	    <input type="text" name="comment"><input type="submit">
	</form>
</body>
</html>

# cmt_list.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>评论列表</title>
</head>
<body>
	<h1>评论:</h1>
	{% for comment in msg %}
		<li>{{ comment }}</li>
	{% endfor %}
</body>
</html>

# views.py
from django.shortcuts import render

msg = []


def comment(request):
    if request.method == 'POST':
        v = request.POST.get('comment')
        msg.append(v)
    return render(request, 'comment.html')


def cmt_list(request):
    return render(request, 'cmt_list.html', {'msg': msg})

此时,如果在评论中输入攻击性代码:

<script>alert('You are SB');</script>

页面会如实显示:
默认会按照字符串显示
这是因为Django中默认已经做了防止xss攻击的处理。

如果将cmt_list.html中加上’|safe’,就表示数据是安全的,将会以弹窗形式展现出来。

<body>
<h1>评论:</h1>
{% for comment in msg %}
<li>{{ comment|safe }}</li>
{% endfor %}
</body>

结果如下:
在这里插入图片描述
除了在模板中用管道符+safe标记外,还可以在后台,使用Django的mark_safe()函数来将标签标记为安全的,代码如下:

def test(request):
    temp = '<a href="https://www.baidu.com">百度</a>'
    from django.utils.safestring import mark_safe
    safe_temp = mark_safe(temp)
    render(request, 'test.html', {'temp': safe_temp})



CSRF

情景引入
1、一家初创的金融公司,网页上转账功能采用的是get请求。
攻击者使用美女图片,图片代码如下为<a href="http://www.jinrong.com/?to=6225760000008888&money=20000">美女点我</a>
如果小白用户登录成功该金融网站,同时点击了美女,那么2w元就被转账走了。
2、如果该金融公司采用POST形式传递参数。攻击者采用两个display:none的input框,将自己卡号和金额作为值,引诱小白用户点击。

<form action="http://www.jinrong.com/" method="post">
    <input type="text" value="6225760000008888" name="to" style="display: none">
    <input type="text" value="20000" name="money" style="display: none">
    <a onclick="fun">美女点我</a>
</form>

3、该金融公司在正常转账的表单中,增加一个随机字符串。这个随机字符串是在登录成功后服务端发送给客户端的。
如果攻击者提交的POST请求没有这个随机字符串,或者随机字符串与开始的随机字符串不匹配,就不能骗到钱。

Django中默认做了csrf的处理,在settings中:对于csrf验证的中间件
此时,为了避免出现403 forbidden的报错,就需要在Form表单处添加{% csrf_token %}

<form action="/csrf.html">
    {% csrf_token %}
    <input type="text" id="user" name="user">
    <input type="submit" value="提交">
</form>

CSRF,有时又叫XSRF,跨站请求伪造。正常的POST请求之前一般都是GET请求,在这个GET请求时客户端获取到随机字符串,在POST提交时将这个字符串一起提交。


Ajax方式提交CSRF
方式1:
利用jquery获取到csrf和user的值,将其放入data中提交:

<form action="/csrf.html">
    {% csrf_token %}
    <input type="text" id="user" name="user">
    <input type="submit" value="提交">
    <a href="" onclick="submitForm();">Ajax提交</a>
</form>
<script src="/static/jquery-3.4.1.js"></script>
<script>
    function submitForm() {
        var csrf = $('input[name="csrfmiddlewaretoken"]').val();
        var user = $('#user').val();
        $.ajax({
            url: '/csrf.html',
            type: 'POST',
            data: {"user": user, "csrfmiddlewaretoken": csrf},
            success: function (arg) {
                console.log(arg);
            }
        })
    }
</script>

方式2:
新加入插件jquery.cookie.js,从cookie中获取到csrftoken。
将token放入请求头中,固定名称X-CSRFToken headers: {'X-CSRFToken': token},

<form action="/csrf.html">
    {% csrf_token %}
    <input type="text" id="user" name="user">
    <input type="submit" value="提交">
    <a href="" onclick="submitForm();">Ajax提交</a>
</form>
<script src="/static/jquery-3.4.1.js"></script>
<script src="/static/jquery.cookie.js"></script>
<script>
    function submitForm() {
        var token = $.cookie('csrftoken');
        var user = $('#user').val();
        $.ajax({
            url: '/csrf.html',
            type: 'POST',
            headers: {'X-CSRFToken': token},
            data: {"user": user},
            success: function (arg) {
                console.log(arg);
            }
        })
    }
</script>
lxyker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django框架防止XSS注入的方法分析
09-19
主要介绍了django框架防止XSS注入的方法,结合实例形式分析了XSS攻击的原理及Django框架防止XSS攻击的相关操作技巧,需要的朋友可以参考下
【安全】(一)DjangoXSS防御
财迷的博客
02-28 5066
【安全防护】(一)Django的防护机制——XSS
XSSCSRF 攻击详解
最新发布
xnxqwzy的博客
05-01 356
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
django使用BeautifulSoup4库防止js的xss攻击
qq_45701131的博客
10-21 243
Beautiful Soup是python的一个库,最主要的功能是从网页抓取数据。官方解释如下: Beautiful Soup提供一些简单的、python式的函数用来处理导航、搜索、修改分析树等功能。 它是一个工具箱,通过解析文档为用户提供需要抓取的数据,因为简单,所以不需要多少代码就可以写出一个完整的应用程序。 这里我们再django中使用它来过滤用户提交文章中的script标签。用来防止用户编写JavaScript脚本攻击等。注意这个导入库与安装的库名略有差异。如果没有安装的话。安装命令为pip3
Django | 安全防护】防止XSS跨站脚本攻击
计算机魔术师的blog
08-18 824
假设我是一名攻击者🐱‍👤 xxs原理:攻击者将自己的个人信息填写上javascript脚本,那么我们作为用户去查看字段时,会直接渲染 信息内容,此时就会运行攻击脚本script进行发送信息,删除用户等操作......
DjangoXSS攻击
weixin_30568715的博客
08-06 371
DjangoXSS攻击   XSS是什么:XSS是跨站脚本攻击。   XSS可以获取用户的信息,比如登录凭证Cookie,那样就可以登录用户的账号,但是在django中,XSS 是默认阻止的。因为在django中,a标签是字符串类型的。   比如在评论中提叫script的代码,会以字符串的形式显示出来。   views.py msg = [] def commen...
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单。 安装 npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class...
django-payments:Django的通用付款处理
02-05
它强调代码复用,提供了一套强大的数据库建模API,内置了管理后台,以及对CSRFXSS等安全问题的防护,使得开发高效、安全的Web应用变得简单。 **支付处理**:在电子商务网站中,支付处理是关键的一环,涉及到用户...
Django-2.1.15.tar.gz
03-25
Django强调安全性,内置了防止跨站脚本(XSS)、跨站请求伪造(CSRF)等攻击的防护措施。 12. **性能优化** Django支持缓存框架,可以使用多种缓存策略,如内存缓存、数据库缓存等,以提高网站性能。 13. **国际...
Django-2.2.5.tar.gz
12-21
10. **安全性(Security)**:Django注重安全性,内置了许多安全防护措施,如防止XSSCSRF攻击,以及强制使用HTTPS。 Django 2.2.5的发布可能包括了以下改进和修复: - 修复了一些已知的bug,提高了软件的稳定性。...
django-2.0
01-16
它包括了对XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的更好防护,以及对不安全HTTP头的自动修复。 6. **管理命令改进**:Django 2.0的管理命令现在支持类型提示,这有助于提高代码的可读性和工具的集成。 7. **...
使用Django简单编写一个XSS平台的方法步骤
09-19
主要介绍了使用Django简单编写一个XSS平台的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django如何实现防止XSS攻击
12-16
一、什么是XSS攻击 xss攻击:—–>web注入   xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。   我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 PS: 把用户输入的数据以安全的形式显示,那只能是在页面上显示字符串。 django框架中给数据标记安全方式显示(但
十五 .Django 自身安全机制-XSS
aozhisui4810的博客
08-16 189
一 .django-xss攻击原理与防范 1.跨站脚本攻击(XSS)概念 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。也属一种注入攻击,注入本质上就是把输入的数据变成可执行的程序语句比如这些代码包括HTML代码和客户端脚本。 2.xss攻击:----->web注入   xss跨站脚本攻击(C...
手把手带你学会Django2.0框架
12-07
本课程是基于Python3.8和Django2.1.5框架进行讲解,主要内容有:1、模型模块学习内容大概是:模型分析、模型创建、模型迁移、模型查询等操作2、视图模块学习内容大概是:Request、Response、Cookie、Session等3、模板学习学习内容大概是:模板语言、过滤器、转义等4、其他常用模块学习内容大概是:富文本、分页、全文检索、缓存、管理后台、中间件等5、项目个人博客内容大概是:轮播图、首页文章、**评论文章、评论、登录注册、标签、分类等6、部署内容大概是:uWSGI、Nginx7、安全内容大概是:CSRFXSS、点击劫持、SQL注入等
Django防止XSS攻击的几种方式
u011300968的博客
07-19 8139
一、什么是XSS攻击 XSS即跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 二、防止XSS攻击的两种方式 1、对单一变量逐个进行转义过滤。利用{% autoescape off|on %}。 2、利用djangoHTML自动转义,无需autoescape 标签,django中的HTML文档会自动转义。< 转化
详解XSSCSRF
sanlyshi's front-end road
10-28 1742
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
django xss攻击
09-20
### 回答1: Django框架具有内置的XSS防御机制,可以在模板中自动转义所有HTML字符,从而防止...总之,虽然Django在设计上已经考虑到了XSS攻击,但开发者仍然需要加强对用户输入的校验和过滤,确保应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值