Djano XSS的转义

最新推荐文章于 2024-04-01 20:49:40 发布
最新推荐文章于 2024-04-01 20:49:40 发布
阅读量110 收藏
点赞数
文章标签: 前端 javascript python ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34293902/article/details/85088692
版权

Djano 默认的安全机制会把后台直接发到前端的数据都当做字符串,这样可以有效避免XSS***。

比如说


views.py 片段里面我传递给前端了一个html格式的字符串和一个Javascript的字符串

def tpl4(request):
    name = "hello my name is ggggg"
    test="""
    <input type=text placeholder='UserName' \>
    <input type=password placeholder='Password' \>
    <input type=submit \>
    """
    data="<script>alert(123)</script>"
    return render(request, 'tpl4.html', {'name': name,'test':test,'data':data})

  

tpl4.html 里面直接输出

{% load calculation %}
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title></title>
</head>
<body>


    <p>
        {% addnum  2  5  6 %}
    </p>

    <p>
         {{ name }}
    </p>
    <p>
        {{ name|upper }}
    </p>
    <p>
        {{ name|truncatechars:"10" }}

    </p>

    {{ 30|mulnum:30 }}

    <p>
        {{ test }}
         {{ data }}
    </p>
  

</body>
</html>


可以看见结果直接输出的是字符串


wKioL1mQ8b2QovEWAAC27QO7Sl0568.jpg


如何能够强制解析我们发送的内容呢?我们可以标记他为‘安全’,这样Django的模板语言就能正常识别了。比如我们加一个管道符号,然后表明safe


{% load calculation %}
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    <p>
        {% addnum  2  5  6 %}
    </p>
    <p>
         {{ name }}
    </p>
    <p>
        {{ name|upper }}
    </p>
    <p>
        {{ name|truncatechars:"10" }}
    </p>
    {{ 30|mulnum:30 }}
    <p>
        {{ test }}
         {{ data }}
    </p>
    <p>
        {{ test|safe}}
    </p>
        {{ data|safe }}
</body>
</html>


这样我就能成功地执行Javascript和html代码了

wKiom1mQ8b6DhlGOAADz4fbxfIg132.jpg

不过这样每一行来写safe比较麻烦,另外一个简单的方式就是直接在Python文件上标明。

首先要导入一个类 from django.utils.safestring import mark_safe

然后把对应的字符串标记为安全 mark_safe(test)就行了


def tpl4(request):
    from django.utils.safestring import mark_safe
    name = "hello my name is ggggg"
    test="""
    <input type=text placeholder='UserName' \>
    <input type=password placeholder='Password' \>
    <input type=submit \>
    """
    data="<script>alert(123)</script>"
    test=mark_safe(test)
    data=mark_safe(data)
    return render(request, 'tpl4.html', {'name': name,'test':test,'data':data})


tpl4.html直接调用即可

{% load calculation %}
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    <p>
        {% addnum  2  5  6 %}
    </p>
    <p>
         {{ name }}
    </p>
    <p>
        {{ name|upper }}
    </p>
    <p>
        {{ name|truncatechars:"10" }}
    </p>
    {{ 30|mulnum:30 }}
    <p>
        {{ test }}
         {{ data }}
    </p>

</body>
</html>


效果如下

wKiom1mQ9E2jKre3AAC2fo6Qh5I688.jpg

weixin_34293902
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss尖括号等被转义情况下的绕过测试
z1moq的博客
07-25 1万+
打开靶场 目标网站存在反射型xss漏洞,我们使用常用的方法进行测试 发现并无作用,打开网站源码查看问题情况 确实后端会将用户输入的数据无过滤直接返回前端,但是存在个别符号被转义的问题,导致无法正常弹窗 通过查找资料可知,可以通过使用三重url编码的方式绕过这一问题 尝试使用此方法进行绕过 emmmmmmm发现并不行 尝试使用编码绕过 发现也被转义了 既然无法实现转义的绕过,就再次仔细观察前端页面代码 发现在form表单中也会直接显示,并且发现 value 的值是由单引号闭合,且单引号在前几次测
解决xss转义导致转码的问题
weixin_39555954的博客
08-15 1373
解决xss转义导致转码的问题
Django入门简介
weixin_45889347的博客
02-08 5429
Django入门
TML转义字符:xss攻击与HTML字符的转义和反转义
周陆军的博客,分享it技术。
06-25 1791
HTML常用转义字符对照表:最常用的字符实体 Character Entities、ISO 8859-1 (Latin-1)字符集、数学和希腊字母标志、重要的国际标记、JavaScript转义符、富文本通用转义字符、HTML特殊转义字符对照表
【网络安全 / 前端 XSS 防护】一文带你了解 HTML 的特殊字符转义及编码
最新发布
胡西风的博客
04-01 376
如果用户输入的内容未经过转义或编码处理,并且在个人简介页面上直接显示,那么攻击者可以在自我介绍中插入恶意 HTML 标签或属性。例如,当浏览器检测到页面中的特殊字符被正确转义或编码时,它们会将其视为纯文本,不会将其解析为 HTML 标签或脚本。转义时应考虑多重编码:当字符传输经过多个层级或环节时,确保在每个层级或环节上都进行了正确的编码和转义处理。这样,HTML 标签和属性不再被解析为可执行的代码,保护了页面和用户的安全。这样,URL 中的特殊字符被转义为实体编码,防止了恶意代码的执行。
xssObject:遍历对象以查找xss转义的字符串
05-19
JavaScript编程中,XSS(Cross Site Scripting)是一种常见的安全漏洞,它允许攻击者注入恶意脚本到用户的浏览器,从而获取敏感数据或控制用户的行为。`xssObject`是针对这种安全问题的一个工具,其核心功能是遍历...
Xss Scan tool
05-25
Xss Scan工具是一款专为网络安全专业人士设计的插件,它集成在Burp Suite这款流行的网络安全测试平台上,主要用于检测和识别Web应用程序中的XSS(跨站脚本)漏洞。XSS攻击是网络安全领域的一个重要问题,它允许攻击...
java 预防XSS攻击
08-23
- 使用`java.util.regex.Pattern`和`Matcher`进行正则表达式匹配,对敏感字符如尖括号、引号等进行限制或转义。 - 对输入长度进行限制,避免过长的用户输入可能导致的内存溢出问题。 - 使用预定义的验证框架,如...
springboot整合XSS
03-20
本文将深入探讨如何在Spring Boot项目中整合并预防XSS(Cross-Site Scripting)攻击。XSS是一种常见的网络攻击方式,通过注入恶意脚本到网页中,来窃取用户数据或者执行恶意操作。 一、理解XSS攻击 XSS攻击主要...
edu 后台xss1
08-08
在处理用户输入时,应该采用诸如转义特殊字符、内容安全策略(Content Security Policy, CSP)或者使用预编译模板等方法来防止XSS攻击。 XSS攻击的危害主要体现在以下几个方面: 1. 用户信息窃取:攻击者可以通过...
XSS危险字符以及其处理方法
01-12
本文档包含了XSS危险字符的基本介绍,以及与其对应的在java以及JSP中的处理方法
关于springboot中 处理XSS转义
weixin_34291004的博客
05-12 1991
2019独角兽企业重金招聘Python工程师标准>>> ...
xss攻击突破转义_给XSS加点S
weixin_39636717的博客
11-20 723
TOC:约定本文中出现由花括号包裹的内容为服务端进行 html 字符串拼接的动态内容:{ userData },在其他文章中经常表现为 <%= userData >。本文中所使用的关键词:“用户数据”,与“非受信数据”同义。XSS 简介XSS 是一种代码注入攻击,在受害者浏览器上注入恶意代码并执行,本质是前后端渲染不受信任的用户数据导致的安全问题。不受信任的用户数据指的是由用户提供的数...
django基础知识详解
留下虚度光阴的一些证据。
05-13 3242
django基础知识详解 安装Django的卸载$ pip3 uninstall djangoDjango 的开发环境 2.2 Django项目的目录结构 2.2.1 作用:此文件是项目管理的主程序,在开发阶段用于管理整个项目的开发运行的调式 特点: 包含项目管理的子命令, 如: 启动服务 创建应用 数据库迁移 可以显示帮助文档,查看所有选项 2.2.2 mysite1 项目包文件夹 特点:项目包的主文件夹(默认与项目名称一致) 2.2.3 包初始化文件,当此项目包被导入(
xss绕过方法
sinri的博客
01-30 3753
xss绕过方法 1.改变大小写 将大小写穿插编写 <script>alert(“xss”);</script> 可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 2.关闭标签 利用大于号>关闭标签使得xss生效 ><script>alert(“Hi”);</script> 3.利用html标签触发事件 很多标签都可以对过滤进行绕过 格式:< 标签 事件 = 执行语句 例如: <p
Django项目前置准备,环境搭建
瑞瑞的博客
07-17 214
django项目前置准备,python环境及mysql环境安装
Django-RestFramework中文学习笔记
weixin_43474835的博客
02-18 367
序列化:序列化器会把模型对象转换成字典,经过response认证后变成json字符串反序列化:把客户端发送过来的数据,经过request以后变成字典,序列化器可以把字典变成模型很多时候drf提供的 mixin 并不能满足开发需求,就需要自定义 mixin# get_object源码中字段查询源代码自定义多字段查询 mixin# 重写GenericAPIView里面的 get_objectfilter = {} # 重写字段部分代码,原来是只有一个字段,使用循环处理返回多个字段return obj。
xss攻击突破转义_WEB安全之XSS攻击方式与防御方式
weixin_39520393的博客
11-21 875
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~XSS 常见攻击方法1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web...
xss攻击突破转义_跨站脚本攻击XSS笔记
weixin_39724362的博客
11-21 551
简介XSS:Cross Site ScriptingCross Site(跨站):对于跨站的理解是,XSS攻击是发生在目标主机的浏览器上的Scripting(脚本):XSS攻击重点在于“脚本”,在目标服务器执行恶意的Script脚本从而达到攻击目的。为什么会出现XSS? 浏览器怎样解析页面? 浏览器页面的内容可由html、css、Javascript三者相互配合形成,其中html贯穿整个页面,负责...
xss绕过尖括号转义
10-12
3. 使用JavaScript编码:可以使用JavaScript编码来绕过尖括号的转义,例如使用“document.write('\x3cscript>alert('XSS')\x3c/script>')”来注入JavaScript代码。 4. 使用URL编码:可以使用URL编码来绕过尖括号的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值