javascript拼json时单引号错误_在Django模板中安全地包含JavaScript数据

最新推荐文章于 2022-04-27 16:19:04 发布
最新推荐文章于 2022-04-27 16:19:04 发布
阅读量88 收藏
点赞数
文章标签: javascript拼json时单引号错误 js 字符串包含 js字符串是否包含另一个字符串 向word模板中写入数据 对未标记为可安全执行的脚本 有效数据包含额外数据

31c2537b72cebb23e1d7d14fda85ca2f.png

Django模板通常用于将数据传递给JavaScript代码。不幸的是,如果实现的不正确的话,就可能会增加HTML注入的可能性,从而导致XSS(跨站点脚本)攻击。

这是我在Django项目中遇到的最常见的安全问题之一。事实上,我几乎在每一个大型Django项目上以这样或那样的形式见到过它。

此外,我这里不点名指责,但我也在很多社区资源中看到过它。这包括会议演讲、博客文章和Stack Overflow的回答。

这很难做好!由于只有Django 2.1添加了json_script模板标记来安全地实现这一点,所以这也是一个历史性难题。(有关这个问题的ticket已经被开启六年了!)

让我们看看这个问题,以及我们如何使用json_script修复它。

易受攻击的方式

让我们来看看这个视图:

75030517d87d38d055ea8128a063ddc0.png

…以及这个模板:

51c3997568de1a7362d100dddcfa7dab.png

不幸的是,正如我们所写的,该模板对HTML注入是开放的。这是因为如果数据中的任何地方包含,那么结果的其余部分都会被解析为额外的HTML。我们将此称为HTML注入,攻击者可以使用它向你的站点添加任意(恶意)内容。

如果mydata可以被第三方以任何方式控制,那么,比如用户的评论或API的返回数据都可能被攻击者尝试用来进行HTML注入。

假设get_mydata()返回了这个巧妙的字符串:

ef176b5e70d388b7d149056fbe2627bb.png

(我使用的是一个字符串,但这也适用于字典和列表,因为在JavaScript中它们也可以包含字符串。)

然后该模板将渲染为:

8a94c012cf51173f6d572730591448c1.png

浏览器首先仅通过HTML标记解析页面,而不检查其中的JavaScript。

所以它会认为第一个

安全的方式

使用Django避免这个漏洞的最佳方法是使用json_script模板标记。它会使用JSON脚本标记以防HTML注入的方式输出数据。

在我们的模板中,我们会像这样使用它:

f57294a253d92fbc0bb98cf226acf70c.png

这会被渲染成这样:

a96bf388cf22e060bd82d3e1d27cac25.png

这是一个

我们还需要更改我们的JavaScript以从该元素获取数据。改编自Django文档,最终结果将如下所示:

28ad5c2b04ef94a1e925980f4056a28b.png

欢呼!

CSP进阶

更新(2020-02-19): 增加了这一部分,感谢James Bligh和Tom Grainger对我的帮助。

如果你想更安全,你可以更进一步,避免在你的模板中总是使用内联

weixin_39644611
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python json.loads兼容单引号数据
Zamo.的博客
11-01 1357
Python的json模块解析单引号数据会报错,示例如下 >>> import json >>> data = "{'field1': 0, 'field2': 'hehehehe', 'field3': 'hahaha'}" >>> json.loads(data) Traceback (most recent call last):  F...
【Python】json模块解析带单引号json字符串
Ezrealmore
08-16 6827
问题 python解析json,可以用json.loads(str)来处理,但是如果json的key或者value是单引号包围,则json.loads就会报错,解决方法如下 方法一 将单引号替换为双引号 s = "'key':'value'" s = s.replace('\'','\"') js = json.loads(json.dumps(eval(s))) 方法二 js = json....
django html过滤,django Django内置过滤器 - 刘江的django教程
weixin_30563851的博客
06-09 489
Django内置过滤器阅读:32453评论:3Django内置过滤器总览可以查询下表来总览Django的内置过滤器:过滤器说明add加法addslashes添加斜杠capfirst首字母大写center文本居cut切除字符date日期格式化default设置默认值default_if_none为None设置默认值dictsort字典排序dictsortreversed字典反向排序divisib...
[bigdata-021]python3转换json数据单引号双引号注意点
大数据和机器学习研究
01-04 7994
在py3里,一个json是一个字典,形如 {"a":15} 那么,如果你要将它转换成字符串,也许你用的是str({"a":15}),这样转出来的,可能是是s= "{'a':'15'}",也就是说,里面的kv是单引号的。这个字符串,传到其他地方,再用json.loads(s)的候会出错,json不支持单引号。 所以,假如你想把一个json结构,转成字符串,传递给远处,然后再重新解析成j
使用JavaScript获取Django模板指定键值数据
10-15
总之,本文探讨了如何在Django模板定义自定义过滤器,以及如何在JavaScript使用这些过滤器来处理嵌套数据结构。这种技术在处理复杂的数据交互场景尤其有用,它提高了代码的可读性和可维护性,同也让前端和...
django-jsoneditor:提供javascript在线JSON编辑器的Django JSONEditor输入小部件
02-03
在此处查看JavaScript在线JSON编辑器的最新版本: : 样本视图: 不要将此仓库与匹配 安装 GIT存储库的最新版本: pip install "git+git://github.com/nnseva/django-jsoneditor.git" 来自PyPi存储库的稳定...
django-prettyjson:在Django表单,管理员或模板启用漂亮的JSON查看器
05-14
Django表单,管理员或模板启用漂亮的JSON查看器。 查看器改编自 。 它几乎与任何东西兼容:存储在字符串JSON,一个jsonfield(使用django.contrib.postgres或 )或任何可以序列化为JSON的python对象(使用 ...
django_util_js:djangojavascript 的 util。 例如 url_for 等
06-16
django_util_js djangojavascript 的 util。 例如 url_for 等。用法将 django_util_js 安装到您的服务器应用程序 1. add to INSTALLED_APPS INSTALLED_APPS = ( ... 'django_util_js', )2. add to urls.py url...
DjangoJSON数据格式
diaolouan9546的博客
07-21 733
JSON简介: o JSON 指的是 JavaScript 对象表示法(JavaScriptObjectNotation) o JSON 是轻量级的文本数据交换格式 o JSON 独立于语言 o JSON 具有自我描述性,更易理解 *JSON 使用 JavaScript 语法来描述数据对象,但是 JSON 仍然独立于语言和平台。JSON 解析器和...
Django在view数据库查询数据JSON格式数据返回
你的bug是我提的博客
04-27 768
和前端交互全部使用JSON,如何将数据库查询结果转换成JSON格式 返回多条数据 示例 import json from django.http import HttpResponse from django.core import serializers def db_to_json(request): scripts = Scripts.objects.all()[0:1] json_data = serializers.serialize('json', scripts) ...
Django 传递JSON至JS处理
NULL
06-14 980
学习来源:Django传值给前端 非ajax,这里是将json与网页一次性全部发给浏览器端,不是异步传输。 模版html: <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> </title> <script src="http://apps.bdimg.com/libs/jquery/1.10.2/jquery.min.js"></scri
django模板的字符串文字和自动转义
u011300968的博客
07-20 3725
本文只考虑模板的字符串,不考虑字符串带标签的情况。 模板的字符串文字不会自动转义,因为这里默认模板的作者已经正确书写模板的内容。{{ data|default:"This is a string literal." }}如果我们在data不存在,显示默认文字“3 < 2”,则代码如下:{{ data|default:"3 < 2" }}注意:不应该写成如下形式{{ data|defa
django 模版关闭转义
youbo_sun的专栏
08-06 1792
django 模版显示的html出现'类似的ascii字符,这是由于django单引号进行了转义,可以通过关闭转义解决html处理异常问题。 关闭django转义的方法有如下两种:     1.关闭单个模版变量的转义:         利用"|safe" 过滤器告诉django这个变量不需要转义, 如模版:{{ data|sage }}      2.利用django模版标记
Python,怎么在字符串里嵌入双引号或者单引号
热门推荐
linshenwei1995的博客
01-06 10万+
两种方法: 1、在双引号前面加个转义符 \ ,即反斜杠。如"Hello  \"W \"orld",会输出  Hello "W"orld 2、用单引号引起整个字符串,如'Hello "W"orld',同样输出  Hello "W"orld      同理也可以在字符串里嵌入单引号,如"Hello 'W'orld",输出 Hello 'W'orld
django页面循环_JS脚本Django模型上的FOR循环
weixin_36378683的博客
01-13 429
我刚用Django和HTML/Javascript模板启动了一个web应用程序。在我的Djangospot应用程序包含一个Spot模型,该模型被发送到一个HTML模板,以便与googlemapapi一起使用。我在遍历包含Spot.objects.all()的变量spots遇到了一个问题。问题似乎来自于我将数据发送到HMTL文件的方式。在-----------------------------...
Python笔记之Django网页模板的继承block(挖坑填坑、HTML转义)
潇洒哥的运维之道
04-19 2571
一、目标 学习Django 网页模板继承。顺便带上html网页代码转义的介绍 二、试验平台 windows7 , python3.7,Django2.1.5 三、概述 本例过于简单,仅介绍主要代码。 1.新建母版html文件(在里面挖坑block) 2.新建子网页并继承母版extends(在里面填坑) 3.写路由,只需写子网页的路由即可。(无需写母版页的路由) 四、模板base....
Django发送Json格式数据
wjy397的专栏
11-02 7214
转载地址:http://www.husama.com/44.html 简要 RESTful API是目前比较成熟的一套互联网应用程序的API设计理论.具体设计可以看一下RESTful API 设计指南 by 阮一峰 Django的应用 本文讨论RESTful API的一个小应用,当Django作为类似Android,IPhone等APP的后台框架,往往Respons
python response.json()报错_解决Django响应JsonResponse返回json格式数据报错问题
最新发布
05-25
当使用DjangoJsonResponse返回json格式数据,有会遇到response.json()报错的情况,这可能是由于返回的json数据格式不规范导致的。为了解决这个问题,可以尝试以下几种方法: 1. 检查json数据格式是否正确 使用jsonlint.com等在线工具来检查json数据格式是否正确,确保返回的json数据格式是符合标准的。 2. 将响应头设置为application/json 在响应头设置Content-Type为application/json,以确保浏览器能够正确地解析json数据。 例如,在Django视图函数使用以下代码: ``` from django.http import JsonResponse def my_view(request): data = {'name': 'John', 'age': 28} return JsonResponse(data, content_type='application/json') ``` 3. 尝试使用json.loads() 如果仍然遇到response.json()报错的情况,可以尝试使用json.loads()来手动解析json数据,例如: ``` import json from django.http import JsonResponse def my_view(request): data = {'name': 'John', 'age': 28} response = JsonResponse(data, content_type='application/json') json_data = json.loads(response.content) return json_data ``` 希望以上方法能够解决你遇到的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值