xss攻击问题以及如何防范

最新推荐文章于 2023-05-16 22:24:11 发布
最新推荐文章于 2023-05-16 22:24:11 发布
阅读量158 收藏
点赞数
文章标签: python 数据库
原文链接:http://www.cnblogs.com/aaronthon/p/9800921.html
版权

当用户提交评论的时候,比如如下评论内容

111 <scripy>alert(111);</scripy>

这样当现实评论的时候会先弹出111弹框,再显示评论。这就是xss攻击。

所以,我们需要对评论内容进行检测,对恶意代码进行删除,不让不存到数据库。

如下解决方案:

def add_article(request):

    if request.method=="POST":
        title=request.POST.get('title')
        article_content=request.POST.get('article_content')  # 获取评论内容
        user=request.user
        # 使用BeautifulSoup模块
        from bs4 import BeautifulSoup
        # 
        bs=BeautifulSoup(article_content,"html.parser")
        desc=bs.text[0:150]+"..."

        # 过滤非法标签,会寻找到这个页面的所有标签
        for tag in bs.find_all():
            
            print(tag.name)
            # 如果有非法标签
            if tag.name in ["script", "link"]:
                # 使用decompose()删除非法标签
                tag.decompose()

        article_obj=models.Article.objects.create(user=user,title=title,desc=desc)
        models.ArticleDetail.objects.create(content=str(bs),article=article_obj)

        return HttpResponse("添加成功")

 

转载于:https://www.cnblogs.com/aaronthon/p/9800921.html

weixin_33921089
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Yii2的XSS攻击防范策略分析
10-21
主要介绍了Yii2的XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
防范XSS攻击程序
07-29
对用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
XSS攻击防范方法
最新发布
m0_58474008的博客
05-16 1282
当恶意攻击者向web应用程序的页面里插入恶意脚本,处于客户端的用户浏览该网页时,嵌入在正常web页面中的恶意代码就会被执行,从而达到攻击者攻击访问用户、获取访问用户信息,甚至获取网站权限的特殊目的。DOM型XSS攻击执行的前提是原始网页存在一些修改DOM对象的方法和属性,这些方法及属性能动态地刷新响应页面,并向其中添加一些新的内容,而不需要用户在浏览器里执行任何的操作。如果攻击者利用这一特性,在具有XSS漏洞的 web应用程序中植入恶意脚本,那么被攻击的用户就间接地访问了该恶意脚本。
XSS如何防范
qq_45803050的博客
11-27 8109
XSS如何防范 题意分析 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSS。XSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
如何防止XSS攻击
qq_36752945的博客
07-20 7682
如何防止XSS攻击 XSS攻击(跨站点脚本攻击),意即黑客恶意篡改你网页的前端代码,在里面注入一些恶意的 html+javascript的脚本,在你的浏览器内运行,获取你的信息,进行一些恶意操作。 xxs攻击的两种方式 一、反射型攻击 黑客在钓鱼网站设置其URL链接,URL链接可为色情动图、诱惑小视频,此URL链接内嵌有其恶意脚本,你点后 ,恶意脚本被返回至你的浏览器里。此时脚本就会运行,一旦控制了浏览器可得到大量东西,浏览器内包含cookie,可利用cookie伪造你的用户登录的session 状态,去以
前端安全——XSS攻击与防御原理详解
qq_44197554的博客
12-13 5576
前端开发人员必备安全防范知识——XSS攻击与防御,希望大家可以认识到xss攻击的危害
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
PHP和XSS跨站攻击的防范
10-30
PHP和XSS跨站攻击的防范
ThinkPHP2.x防范XSS跨站攻击的方法
10-23
防范XSS攻击的关键在于对用户输入进行适当的过滤和转义。对于ThinkPHP2.x,我们可以通过修改异常错误页面模板来加强防护。具体步骤如下: 1. 修改`ThinkException.tpl.php`(适用于ThinkPHP2.x版本)或`think_...
前端安全系列(一):如何防止XSS攻击
Innocence_0的博客
02-15 1489
前端安全系列(一):如何防止XSS攻击
XSS 防御方法总结
一起记录GIS学习
07-21 4564
1.XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用户访问网页时在其浏览器中进行执行。攻击者通过插入的脚本的执行,来获得用户的信息,比如cookie,发送到攻击者自.
WEB安全(十五)如何防止XSS攻击
jinyangjie的博客
02-17 5636
一、什么是XSS攻击 **XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。**XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。 二、防止XSS攻击 1、X-XSS-Protection设置 目前该属性被所有的主流浏览器默认开启XSS保护。该参数是设置在响应头中目的是用来防范XSS攻击的。它有如下几种配置
简述XSS攻击及其防范措施
蜗牛先生
06-03 7396
只要功能不是太过单一的网站,就肯定会有需要用户输入的地方,即使是最简单的登录,也是需要用户输入的地方。 但是并不是每一个网站都对用户的输入进行了防范。 言外之意,用户的输入可能对网站的安全性构成威胁,这是怎么回事呢? 这就涉及到一个专业名词了:XSS。 ▍XSS(360百科) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表...
Javascript 输入框 xss注入 以及防范
Johnny Liao的博客
12-02 9140
注入 类似于sql注入,在输入内容上动手脚,然后造成标签闭合的现象,再写入恶意 的js; 例如: &lt;input type="text" value="$var"&gt; 输入的内容如果是 " onclick = "javascript_function()" &gt; 在遇到有字符限制的情况下,可以将两个input之间的内容注释掉, 再在之间构建恶意的js &lt;in...
XSS攻击原理及防御措施
Jay的博客
09-07 1163
一、XSS攻击原理 XSS是什么?它的全名是:Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS。是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击的主要目的则是,想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这些信息就可以在任意能接进互联网的pc登陆该网站,并以其他人的生份登陆,做一些破坏。预防措施,防止下
黑客技术----XSS攻击
weixin_42555713的博客
12-16 351
什么是XSS攻击? XSS 全称是 Cross Site Scripting(即跨站脚本),为了和 CSS 区分,故叫它XSS。XSS 攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并进行操作。 这些操作一般可以完成下面这些事情: 1,窃取Cookie。 2,监听用户行为,如输入账号密码后直接发送到黑客服务端。 3,修改DOM伪造登录表单。 4,在页面中生成浮窗广告。 通常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值