Django—XSS及CSRF

最新推荐文章于 2024-05-16 11:09:42 发布
最新推荐文章于 2024-05-16 11:09:42 发布
阅读量107 收藏
点赞数
文章标签: python javascript 数据库 ViewUI
原文链接:http://www.cnblogs.com/OldJack/p/7090406.html
版权

一、XSS

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

1. 工作流程

a. 恶意用户,在一些公共区域(例如,建议提交表单或消息公共板的输入表单)输入一些文本,这些文本被其它用户看到,但这些文本不仅仅是他们要输入的文本,同时还包括一些可以在客户端执行的脚本。如:

<script>
   this.document = "*********"; 
  alert('Not Safe');
</script>

b. 恶意提交这个表单

c. 其他用户看到这个包括恶意脚本的页面并执行,获取用户的cookie等敏感信息。

 

 

 2. 实例-未防范XSS攻击
 1 pinglu = []     # 评论列表
 2 
 3 #提交表单
 4 def commit(request):
 5     if request.method == 'GET':
 6         return render(request, 'commit.html')
 7     else:
 8         com = request.POST.get('commit')
 9         pinglu.append(com)
10         return redirect('/index.html/')
11 
12 
13 #查看评论页面
14 def index(request):
15     return render(request, 'index.html', {'commit': pinglu})
view.py 
 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <title>Title</title>
 6 </head>
 7 <body>
 8 <h1>评论</h1>
 9 <form action="/commit.html/" method="post">
10     <input type="text" name="commit">
11     <input type="submit" value="sumbit"> {{ error }}
12 </form>
13 </body>
14 </html>
commit.html 
 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <title>Title</title>
 6 </head>
 7 <body>
 8 <h1>评论</h1>
 9 {% for item in commit %}
10     <div>{{ item|safe }}</div>
11 {#    item后加safe,默认数据安全,django不会做特殊处理#}
12 {% endfor %}
13 </body>
14 </html>
index.html

以上实例中,若在commit.html页面输入以下内容并提交:

<script> alert('恶意脚本') </script>

则会在index页面执行此行代码,弹出警告框(若包含恶意代码,则会执行)

3. 防范XSS攻击
  • 最直接的方法就是对于无法控制的输入在html页面内不要使用safe
{#    <div>{{ item|safe }}</div>#}
    <div>{{ item }}</div>
  • 也可以在views里进行过滤,防止特殊字符提交到数据库或网页内
def commit(request):
    if request.method == 'GET':
        return render(request, 'commit.html')
    else:
        com = request.POST.get('commit')
        if '<script>' in com:    # 过滤“<script>”关键字,防止恶意代码的提交
            return render(request, 'commit.html', {'error': '此条评论有毒,已被和谐'})
        else:
            pinglu.append(com)
            return redirect('/index.html/')

  •  对于信任的链接或用户输入,使用 mark_safe 标记为安全
1 def make_safe(request):
2     from django.utils.safestring import mark_safe
3     temp = "<a href='http://www.baidu.com'>百度</a>"
4     #temp = mark_safe(temp)
5     return render(request, 'make_safe.html', {'temp': temp})
未使用mark_safe标记的链接 

1 def make_safe(request):
2     from django.utils.safestring import mark_safe
3     temp = "<a href='http://www.baidu.com'>百度</a>"
4     temp = mark_safe(temp)
5     return render(request, 'make_safe.html', {'temp': temp})
使用mark_safe标记的安全链接

 

二、CSRF

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

1. 工作流程

攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作:

 

 2. django中如何防范

django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。

全局:

  • 启用中间件 django.middleware.csrf.CsrfViewMiddleware

 

局部:

from django.views.decorators.csrf import csrf_exempt,csrf_protect
  • @csrf_protect,为当前函数强制设置防跨站请求伪造功能,即便settings中没有设置全局中间件
  • @csrf_exempt,取消当前函数防跨站请求伪造功能,即便settings中设置了全局中间件。
 3. django中的具体应用方法
  • form表单中添加{csrf_token %}

若form表单中未添加{csrf_token %},则会报403错误。

#settings.py中打开MIDDLEWARE设置
'django.middleware.csrf.CsrfViewMiddleware',
1 from django.shortcuts import render, HttpResponse, redirect
2 
3 def csrf_test(request):
4     if request.method == 'GET':
5         return render(request, 'csrf_test.html')
6     else:
7         return HttpResponse('ok')
views.py 
 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <title>csef_test</title>
 6 </head>
 7 <body>
 8 <form action="/csrf_test.html/" method="post">
 9     <input type="text" name="user" id="user">
10     <input type="submit" value="submit">
11 </form>
12 
13 </body>
14 </html>
csef_test.html

修改csef_test.html:

 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <title>csef_test</title>
 6 </head>
 7 <body>
 8 <form action="/csrf_test.html/" method="post">
 9     {% csrf_token %}
10     <input type="text" name="user" id="user">
11     <input type="submit" value="submit">
12 </form>
13 
14 </body>
15 </html>
form表单中添加{% csrf_token %}

  • 全站禁用,即将settings.py中的 'django.middleware.csrf.CsrfViewMiddleware' 注释掉即可
  • 基于FBV视图的局部禁用和使用
 1 #settings.py
 2 #启用 'django.middleware.csrf.CsrfViewMiddleware',
 3 
 4 
 5 from django.views.decorators.csrf import csrf_exempt
 6 
 7 
 8 @csrf_exempt
 9 def csrf_test(request):
10     if request.method == 'GET':
11         return render(request, 'csrf_test.html')
12     else:
13         return HttpResponse('ok')
局部禁用 
 1 #settings.py
 2 #禁用 #'django.middleware.csrf.CsrfViewMiddleware',
 3 
 4 
 5 from django.views.decorators.csrf import csrf_protect
 6 
 7 
 8 @csrf_protect
 9 def csrf_test(request):
10     if request.method == 'GET':
11         return render(request, 'csrf_test.html')
12     else:
13         return HttpResponse('ok')
局部使用
  •  基于CBV视图的(只能局部使用或禁用类,不能在类方法里局部使用或禁用
 1 #settings.py
 2 #禁用    'django.middleware.csrf.CsrfViewMiddleware',
 3 
 4 
 5 from django.views import View
 6 from django.views.decorators.csrf import csrf_protect
 7 from django.utils.decorators import method_decorator
 8 
 9 
10 @method_decorator(csrf_protect, name='dispatch')
11 class Foo(View):
12     def get(self, request):
13         pass
14 
15     def post(self, request):
16         pass
局部使用 
 1 #settings.py
 2 #启用    'django.middleware.csrf.CsrfViewMiddleware',
 3 
 4 
 5 from django.views import View
 6 from django.views.decorators.csrf import csrf_exempt
 7 from django.utils.decorators import method_decorator
 8 
 9 
10 @method_decorator(csrf_exempt, name='dispatch')
11 class Foo(View):
12     def get(self, request):
13         pass
14 
15     def post(self, request):
16         pass
局部禁用
  • Ajax提交数据时,携带CSRF
 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <title>csef_test</title>
 6 </head>
 7 <body>
 8 <form action="/csrf_test.html/" method="post">
 9     {% csrf_token %}
10     <input type="text" name="user" id="user">
11 {#    <input type="submit" value="submit">#}
12     <a οnclick="submitForm();">Ajax提交表单</a>
13 </form>
14 
15 <script src="/static/jquery-3.2.1.js"></script>
16 <script>
17     function submitForm() {
18             var csrf = $("input[name='csrfmiddlewaretoken']").val()
19             var user = $("#user").val()
20             $.ajax({
21                 url: '/csrf_test.html/',
22                     type: 'POST',
23                     data: {"user": user, "csrfmiddlewaretoken": csrf},
24                     success: function (arg) {
25                             console.log(arg);
26           }
27             })
28   }
29 </script>
30 </body>
31 </html>
Ajax重写csrf_test,html,csrf数据存放于data中 
 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <title>csef_test</title>
 6 </head>
 7 <body>
 8 <form action="/csrf_test.html/" method="post">
 9     {% csrf_token %}
10     <input type="text" name="user" id="user">
11 {#    <input type="submit" value="submit">#}
12     <a οnclick="submitForm();">Ajax提交表单</a>
13 </form>
14 
15 <script src="/static/jquery-3.2.1.js"></script>
16 {#专门处理cookie的插件,提取cookie字符串#}
17 <script src="/static/jquery.cookie.js"></script>
18 
19 {#csrf数据放于data中#}
20 {#<script>#}
21 {#    function submitForm() {#}
22 {#            var csrf = $("input[name='csrfmiddlewaretoken']").val();#}
23 {#            var user = $("#user").val();#}
24 {#            $.ajax({#}
25 {#                url: '/csrf_test.html/',#}
26 {#                    type: 'POST',#}
27 {#                    data: {"user": user, "csrfmiddlewaretoken": csrf},#}
28 {#                    success: function (arg) {#}
29 {#                            console.log(arg);#}
30 {#          }#}
31 {#            })#}
32 {#  }#}
33 {#</script>#}
34 
35 {#csrf数据放于请求头中#}
36 <script>
37     function submitForm() {
38             var csrf = $.cookie('csrftoken');
39             var user = $("#user").val();
40             $.ajax({
41                 url: '/csrf_test.html/',
42                     type: 'POST',
43                     headers: {'X-CSRFToken': csrf},
44                     data: {"user": user},
45                     success: function (arg) {
46                             console.log(arg);
47           }
48             })
49   }
50 </script>
51 
52 
53 
54 </body>
55 </html>
Ajax重写csrf_test.html,csrf数据存放于headers中

注意:{csrf_token %}和cookie中的csrftoken值不一样。

form表单中的隐藏csrf_token

 cookie中

 

 

 

参考资料:

1. http://www.cnblogs.com/wupeiqi/articles/5246483.html

2. http://baike.baidu.com/link?url=zgAGPI1IKiAXCgFLNPVNhmZJI5SP4omb3zHchzPLuivW7QDRDxmAUDt7ZA8aqNlr-YuKKgp4GRmIvXucHHsPkq

3. http://baike.baidu.com/link?url=TN7axYhM1xYyXqfjjxDglcNEVBKhuEKs-axcWfV8MnDC0om8slvw_V3Cw4RQJyrnJ9yEQvyAu8Ndf8yKzbj0YK

转载于:https://www.cnblogs.com/OldJack/p/7090406.html

weixin_30454481
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
django的转义总结:escape,autoescape,safe,mark_safe
★云端的梦★
07-19 2363
何谓转义?就是把html语言的关键字过滤掉。例如,就是html的关键字,如果要在html页面上呈现,其源代码就必须是PS:转义其实就是把HTML代码给转换成HTML实体了!默认情况下,django自动为开发者提供escape功能,即在html代码render之前,先进行转义,然后再呈现出来。这样的话,我们如果想输出一个链接,被转义之后,可能就无法得到我们想要的结果。 例如,下面的method,如果用户是匿名用户,则输出“匿名用户”,否则,输出一个链接,指向用户的profile: def get_userna
Django使用mark_safe()和format_html()函数
bocai_xiaodaidai的博客
08-19 8544
django从view向template传递HTML字符串的时候,django默认不渲染此HTML,原因是为了防止这段字符串里面有恶意攻击的代码。 如果需要渲染这段字符串,需要在view里这样写: from django.utils.safestring import mark_safe def view(request): .... pageHtml = mark_saf...
Django自身安全机制-XSSCSRF
weixin_30615767的博客
02-07 115
XSS攻击 什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识...
Django如何实现防止XSS攻击
12-16
一、什么是XSS攻击 xss攻击:—–>web注入   xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。   我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 PS: 把用户输入的数据以安全的形式显示,那只能是在页面上显示字符串。 django框架中给数据标记安全方式显示(但
django框架防止XSS注入的方法分析
09-19
主要介绍了django框架防止XSS注入的方法,结合实例形式分析了XSS攻击的原理及Django框架防止XSS攻击的相关操作技巧,需要的朋友可以参考下
djangoCSRF的问题及解决
06-05
CSRF是Cross Site Request Forgery的缩写,称其为“跨站请求伪造”。...与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以有时候被认为比XSS更具危险性。
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单。 安装 npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class...
06.如何使用Django模板.mp4
01-18
Django提供了许多内置的功能和组件,包括: ORM(对象关系映射):Django的ORM允许开发人员使用...安全性:Django提供了一系列的安全性保护机制,包括防止跨站脚本攻击(XSS)、跨站请求伪造(CSRF)和点击劫持等。
Django Unleashed
10-13
Django is an amazingly powerful system for creating modern, dynamic websites.... XSS, and CSRF Optimize site performance Deploy your site to a managed cloud service and to a PostgreSQL database
python+Django实现防止SQL注入的办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for result1 in result: // 代码块
Django之sql注入,XSS攻击,CSRF攻击原理及防护
time
06-21 5720
sql注入的危害非法操作用户数据库的数据来获取利益,通过修改数据库来修改网页的内容,注入木马等未完待续
[django] 视图里面转义mark_safe
Moke
10-29 926
使用mark_safe函数标记后,django将不再对该函数的内容进行转义 from django.utils.safestring import mark_safe def get_username(self): return mark_safe(”<a href=’/accounts/%s/’>%s</a>” %(self.user.id, self....
DjangoXSS攻击与防范原理
weixin_38894162的博客
02-12 649
DjangoXSS攻击就是跨站脚本攻击,就是利用HTML对页面进行恶意的标签渲染,从而达到攻击网站的效果,更严重的情况是直接获取用户信息,对网站造成巨大损失。 只不过Django自动帮我们做了这个防护功能,我们可以不必刻意做这些保护,但是对于开发者而言,在调用或者解除这些限制的时候要注意,不要留下漏洞。 解除限制很简单,有两种方式。 一,在前端模板语言中实现,只须用到帮助函数safe.如:   ...
django-markdown 防止XSS攻击
zjw_python的博客
01-29 1589
之前给自己的评论模块添加了支持markdown语法功能,在模板中直接使用了自定义的markdown标签(django1.6以后就移除了内置的markdown标签)和safe标签: {{content|markdown_change|safe}} # -*- coding: utf-8 -*- from django import template import markdown regi
Django为例谈谈XSSCSRF攻击
Deft_MKJing的博客
05-19 936
前言 在Web安全领域,XSSCSRF两个是最常见的攻击方式,由于最近在研究Django框架,阅读源码的同时分析下这两个攻击的攻击方式和防御方式 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;在别人的站点嵌入脚本,而这个脚本原来不是属于这个站点的,所以叫跨站脚本,其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安...
Django防止XSS攻击的几种方式
u011300968的博客
07-19 8115
一、什么是XSS攻击 XSS即跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 二、防止XSS攻击的两种方式 1、对单一变量逐个进行转义过滤。利用{% autoescape off|on %}。 2、利用django的HTML自动转义,无需autoescape 标签,django中的HTML文档会自动转义。< 转化
Django编写中间件实现url自定义过滤
技术空间
08-12 3104
目前在公司内容,有一些项目需要接入安全登录认证。 而项目本身是基于Django的。 查阅一些资料后,发现一些比较好的方式是编写中间件(Middleware)。 本文主要讲解如何在Django项目中编写中间件来实现自定义的登录认证服务。   什么是中间件? 在Django中,Middleware指的是在 1. Request->View 2. Vi
python学习-使用pandas库分析excel表,并导出所需的表
最新发布
SixSix的自留地
05-16 326
使用pandas库分析excel表中多个子表的数据
django xss攻击
09-20
此外,Django还提供了一些其他的安全特性,例如CSRF(跨站请求伪造)保护,它可以预防非法网站对用户会话的劫持。 总之,虽然Django在设计上已经考虑到了XSS攻击,但开发者仍然需要加强对用户输入的校验和过滤,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值