Django的form提交js注入问题

最新推荐文章于 2024-07-10 10:22:13 发布
最新推荐文章于 2024-07-10 10:22:13 发布
阅读量387 收藏
点赞数 1
分类专栏: Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31910669/article/details/115339012
版权
本文介绍了如何在刚上线的网站上防止JS注入攻击,通过使用Django的escape或escapejs过滤器,以及结合正则表达式来确保表单数据安全。方法包括避免`<script>`标签注入、使用HTML转义,并举例展示了如何在代码中具体实现这些策略。
摘要由CSDN通过智能技术生成

我的网站刚刚正式上线,就被人用js注入了alert。也是无聊,我正忙着笔试呢没空修复。现在修复一下。
就说对form提交的数据进行js转义就行了。
建议直接方法3
方法一
在django中用escape 或 escapejs过滤器
其实django模板已经做了防止js注入,但是我们又想在页面中正常显示我们在form表单中提交的和标签等。所以用了safe过滤器告诉浏览器是可信的,正常渲染。

{{ content | safe }}

但是,这样就会造成恶意人员实施js注入:
在表单中评论

<script>alert("哈哈哈")</script>

导致网页一直弹出哈哈哈
要解决它我们可以在内容处添加过滤器

{{ content | escape }}
# 或者
```python
{{ content | escapejs }}

方法2
使用html的escape转义

import html

html.escape(content)

方法3
之前那样处理会造成自己的,img标签也被转义。
这样处理就好了,re过滤一下

# 防止js注入
re_script = re.compile(r'<script>(.*?)</script>')
if re_script.search(content):
	content = html.escape(content)
大聪明Smart
关注
专栏目录
Django注入信息
jxy191021的博客
05-13 264
1进入靶场 输入网址:Django: the Web framework for perfectionists with deadlines.进入靶场 2登录 输入Log in | Django site admin进入登录页面 2.1 查找用户名 利用authentucate(认证客户端)函数,认证存在的用户 输入http://110.40.154.100:8000/authentucate查找存在的用户 由上图可知这里的用户名为admin 2.2查找密码 打开ka.
Django使用表单操作数据库
WaltSmith的博客
12-23 9960
目标:实现Django通过表单的GET方式和POST方式提交数据,并添加到数据库 。 OS:win10 x64 Django:1.11.8 Python: 3.6 本文完整示例:完整示例;
Django框架模板注入操作示例【变量传递到模板】
09-19
主要介绍了Django框架模板注入操作,结合实例形式分析了Django框架变量传递到模板简单操作技巧,需要的朋友可以参考下
django使用js动态生成form表单提交到后台,传递到新窗口打开的页面中
xiaotuwai8的博客
03-09 1592
想达到的目的: 前端页面获取几个控件中的值,点击一个button打开新页面,将获取的值传递到新页面,不用get模式。 代码如下: 前端html: <button οnclick="openslurrytestplan()">水泥浆试验计划</button> js代码: function openslurrytestplan() { var n_w_name=docu...
Django 入门指南(三)
最新发布
龙哥盟
07-10 912
原文:zh.annas-archive.org/md5/2CE5925D7287B88DF1D43517EEF98569。
django模板注入(变量传递到模板)
BusyMonkey
06-23 1724
http://blog.csdn.net/github_26672553/article/details/52462678 1.HTML模板如何解析变量? {{变量名}} <h1>这是一个html页面</h1> <p>id:{{ user_id }}</p> <p>名字:{{ username }}</p> 2...
user-form-django-angular:一种简单的表单,用于收集和验证用户的基本详细信息并通过注册的电子邮件发送邮件。 成功提交表单后,用户可以查看所有提交的表单。 后端:Django,前端:AngularJS
02-20
通过这个项目,开发者可以学习到如何将Python的Django框架与JavaScript的AngularJS框架结合起来,创建一个完整的Web应用程序,涉及用户输入验证、数据提交、邮件发送等多个关键功能。这不仅展示了前后端分离的开发...
django弹出对话框_Django模式弹出对话框实现
weixin_39805119的博客
12-21 1645
前言有候我们希望在不离开主页或者索引页的情况下显示所有需要的用户信息,换句话说,就是让form表单显示在一个新层layer上,在一个弹出的模态窗口modal window里。要在一个模态窗口渲染表单非常容易,只需要使用ajax请求并且将返回结果显示在你的模态窗口上即可。但是有的候如果我们想继续操作这个表单就比较棘手了,尤其是出错的候。通常情况下,django会重定向用户到一个显示出错的表单,...
Django
03-26
11. **静态文件和媒体文件管理**: Django提供了处理Web应用中静态文件(如CSS、JavaScript)和用户上传媒体文件的机制。 "Django_main"这个文件可能包含了所有这些组件,以及可能的配置文件如`settings.py`(项目...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
**Django CSRF防护详解** CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者诱使用户在当前已登录的Web应用程序上执行非本意的操作。这种攻击通常通过伪装成用户的合法请求来实现,比如...
网页js脚本注入,可执行任意代码。
11-01
网页js脚本注入,可执行任意代码。这里有个实例教程,通过注入实现跳过验证码。
如何在Django模板中注入全局变量
Hello World!
05-23 7133
刚开始接触django系统,难免遇到许多千奇百怪的问题,都是语法搞的,遇到一次就不会再犯了。 现在遇到的问题是,重写了django自带的登录方法,但登陆核心方法还是用的django自带的,只不过在外围做了一层封装,登录的候认证可以通过,但在前台模板中却得不到user对象值,经一位大牛指导才知道,要想在模板中使用这些数据,必须先要用RequestContext渲染模板   从技术上来说,只有
Django - 模板层 - 模板的导入和继承 、静态文件的使用
LIN的博客
11-12 1289
目录 一、模板的导入 1、组件页面:作为一个组件,被导入{% include  '模板名字'%}进母板页面。 2、母版内使用导入的组件: {% include '组件.html' %} 二、模板的继承{% block 自定义盒子名 %}{% endblock %} 1、母版内定义盒子(作为框架结构) 2、继承页面 {% extends '母版页面名.html' %} 三、静态文件的使...
Django前后端交互---插入数据
wangaolong0427的博客
10-19 477
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、创建一条记录的前端当forms.py中的类创建好之后,如何使用?二、和数据库进行交互 一、创建一条记录的前端 create.html继承了index.html.index中存储的是bootstrap的启用代码,bootstrap中有源码,但是还是贴上吧 <!doctype html> <html lang="en"> <head> <!-- Required meta tag
form表单mysql防#号注入
weixin_34401479的博客
10-12 415
form表单mysql防#号注入 #在mysql中只用来注释作用,但是它却很受***欢迎 演示两种简单input输入#号的mysql***: 数据库管理员账号user表 第一种(账号***,密码随便填): 第二种(账号随便填,密码***): 总结:特别注意写表单,一定要自己过滤掉#号。注意框架默认是没有过滤掉#号的。比如本文用到的TP3.2.2 The end 转载于:https://blog.5...
xss+sql 注入拦截form表单和json数据非法字符
王威振的博客
01-19 6607
首先创建过滤器 /** * Created by wwz on 2018-10-19. */ public class XssFilter implements Filter { private final List<String> arrays = Arrays.asList(new String[]{"<",">","insert","delete","select","drop","update","truncate"}); private final ...
关于Grails的GSP中Form表单防止注入问题
robbenren的专栏
11-30 1350
在Grails项目中发现,Grails框架居然“不能”防止form表单的注入,感觉很是奇怪,然后查找原因发现,在GSP页面中获取从服务器传来的数据,有2种写法: 1.${fieldValue(bean: user, field: "name")}; 2.${user.name} 最开始完全没有注意这两种有什么不同,不过通过这次测试发现,这两种的确有一点不同,对于输入框输入”“的信息,也就是注
django html过滤,django Django内置过滤器 - 刘江的django教程
weixin_30563851的博客
06-09 527
Django内置过滤器阅读:32453评论:3Django内置过滤器总览可以查询下表来总览Django的内置过滤器:过滤器说明add加法addslashes添加斜杠capfirst首字母大写center文本居中cut切除字符date日期格式化default设置默认值default_if_none为None设置默认值dictsort字典排序dictsortreversed字典反向排序divisib...
Django Form与ModelForm详解及使用示例
"本文将深入探讨Django Form和ModelForm的区别以及它们在实际开发中的应用。" 在Django框架中,表单(Form)和ModelForm是处理用户输入数据的重要工具,它们提供了方便的方法来创建HTML表单、验证用户输入以及与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大聪明Smart

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值