django reverse_0基础掌握Django框架(42)XSS攻击

最新推荐文章于 2022-02-28 19:05:21 发布
最新推荐文章于 2022-02-28 19:05:21 发布
阅读量67 收藏
点赞数
文章标签: django reverse xss攻击突破转义

90ad09685c13dbe306447ab231b659af.png

为了更好的学习效果,请搭配视频教程一起学习:

Django零基础到项目实战 - 网易云课堂​study.163.com

XSS攻击

XSS(Cross Site Script)攻击又叫做跨站脚本攻击。他的原理是用户在使用具有XSS漏洞的网站的时候,向这个网站提交一些恶意的代码,当用户在访问这个网站的某个页面的时候,这个恶意的代码就会被执行,从而来破坏网页的结构,获取用户的隐私信息等。

XSS攻击场景:

比如A网站有一个发布帖子的入口,如果用户在提交数据的时候,提交了一段js代码比如:<script>alert("hello world");</script>,然后A网站在渲染这个帖子的时候,直接把这个代码渲染了,那么这个代码就会执行,会在浏览器的窗口中弹出一个模态对话框来显示hello world!如果攻击者能成功的运行以上这么一段js代码,那他能做的事情就有很多很多了!

XSS攻击防御:

  1. 如果不需要显示一些富文本,那么在渲染用户提交的数据的时候,直接进行转义就可以了。在Django的模板中默认就是转义的。也可以把数据在存储到数据库之前,就转义再存储进去,这样以后在渲染的时候,即使不转义也不会有安全问题,示例代码如下:
 from django.template.defaultfilters import escape
 from .models import Comment
 from django.http import HttpResponse
 def comment(request):
     content = request.POST.get("content")
     escaped_content = escape(content)
     Comment.objects.create(content=escaped_content)
     return HttpResponse('success')
  1. 如果对于用户提交上来的数据包含了一些富文本(比如:给字体换色,字体加粗等),那么这时候我们在渲染的时候也要以富文本的形式进行渲染,也即需要使用safe过滤器将其标记为安全的,这样才能显示出富文本样式。但是这样又会存在一个问题,如果用户提交上来的数据存在攻击的代码呢,那将其标记为安全的肯定是有问题的。示例代码如下:
 # views.py
 def index(request):
     message = "<span style='color:red;'>红色字体</span><script>alert('hello world');</script>";
     return render_template(request,'index.html',context={"message":message})
 # index.html


那么这时候该怎么办呢?这时候我们可以指定某些标签我们是需要的(比如:span标签),而某些标签我们是不需要的(比如:script)那么我们在服务器处理数据的时候,就可以将这些需要的标签保留下来,把那些不需要的标签进行转义,或者干脆移除掉,这样就可以解决我们的问题了。这个方法是可行的,包括很多线上网站也是这样做的,在Python中,有一个库可以专门用来处理这个事情,那就是sanitizer。接下来讲下这个库的使用。

bleach库:

bleach库是用来清理包含html格式字符串的库。他可以指定哪些标签需要保留,哪些标签是需要过滤掉的。也可以指定标签上哪些属性是可以保留,哪些属性是不需要的。想要使用这个库,可以通过以下命令进行安装:

pip install bleach

这个库最重要的一个方法是bleach.clean方法,bleach.clean示例代码如下:

import bleach
from bleach.sanitizer import ALLOWED_TAGS,ALLOWED_ATTRIBUTES

@require_http_methods(['POST'])
def message(request):
    # 从客户端中获取提交的数据
    content = request.POST.get('content')

    # 在默认的允许标签中添加img标签
    tags = ALLOWED_TAGS + ['img']
    # 在默认的允许属性中添加src属性
    attributes = {**ALLOWED_ATTRIBUTES,'img':['src']}

    # 对提交的数据进行过滤
    cleaned_content=bleach.clean(content,tags=tags,attributes=attributes)

    # 保存到数据库中
    Message.objects.create(content=cleaned_content)

    return redirect(reverse('index'))

相关介绍如下:

  1. tags:表示允许哪些标签。
  2. attributes:表示标签中允许哪些属性。
  3. ALLOWED_TAGS:这个变量是bleach默认定义的一些标签。如果不符合要求,可以对其进行增加或者删除。
  4. ALLOWED_ATTRIBUTES:这个变量是bleach默认定义的一些属性。如果不符合要求,可以对其进行增加或者删除。

bleach更多资料:

  1. github地址: https://github.com/mozilla/bleach
  2. 文档地址: https://bleach.readthedocs.io/

为了更好的学习效果,请搭配视频教程一起学习:

Django零基础到项目实战 - 网易云课堂​study.163.com
weixin_39942191
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最浅显易懂的Django系列教程(42)-XSS攻击
jspython的博客
05-14 350
XSS攻击 XSS(Cross Site Script)攻击又叫做跨站脚本攻击。他的原理是用户在使用具有XSS漏洞的网站的时候,向这个网站提交一些恶意的代码,当用户在访问这个网站的某个页面的时候,这个恶意的代码就会被执行,从而来破坏网页的结构,获取用户的隐私信息等。 XSS攻击场景: 比如A网站有一个发布帖子的入口,如果用户在提交数据的时候,提交了一段js代码比如:<script>alert("hello world");</script>,然后A网站在渲染这个帖子的时候,直接把这个
django框架防止XSS注入的方法分析
12-26
XSS 是常见的跨站脚本攻击,而且这种类型的错误很不容易被发现或者被开发人员忽视,当然django 框架本身是有这方面的考虑的,比如在模板中自动开启了 escape, 但事实上,我在改版我的 个人博客 yihaomen.duapp.com ...
Django防止XSS攻击的几种方式
u011300968的博客
07-19 8153
一、什么是XSS攻击 XSS即跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 二、防止XSS攻击的两种方式 1、对单一变量逐个进行转义过滤。利用{% autoescape off|on %}。 2、利用django的HTML自动转义,无需autoescape 标签,django中的HTML文档会自动转义。< 转化
Python Django开发中XSS内容过滤问题的解决
07-24 3446
from:http://stackoverflow.com/questions/699468/python-html-sanitizer-scrubber-filter 通过下面这个代码就可以把内容过滤成干净的HTML内容,说明,这个代码来自上面Stackoverflow的回答 Use lxml.html.clean! It's VERY easy! from lxml.html
Django 的DRF框架 Django rest Framework详解
python的神奇之旅
11-11 969
一、DRF简单操作: 1、创建序列化器 class BookInfoSerializer(serializers.ModelSerializer): """图书数据序列化器""" class Meta: model = BookInfo fields = '__all__' model 指明该序列化器处理的数据字段从模型类BookInfo参考...
djangoXSS和CSRF
weixin_44854778的博客
03-13 161
XSS 定义: xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。   我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。   PS: 把用户输入的数据以安全的形式显示,那只能是在页面上显示字符串。  
Django-blog项目(验证码,富文本编辑器,摘要保存,防xss攻击)
weixin_33910759的博客
04-25 157
Django-blog项目(验证码,富文本编辑器,摘要保存,防xss攻击) 一、生成验证码 二、富文本编辑器 三、文章摘要的保存 四、防止xss攻击 --------------------------------------- 一、生成验证码 # 方式四:图片存内存,图片里加文字,噪点躁线,验证码存在session里 def g...
djangotest_djangoweb_django_
10-04
本项目 "djangotest_djangoweb_django_" 旨在为初学者提供一个实战平台,帮助他们理解和掌握 Django 的核心概念与应用。 ### 一、Django 框架基础 Django 遵循 Model-View-Template (MVT) 设计模式,这三者构成了 ...
sun-web.tar.gz_Django_web_django_django blog_python html_python
09-24
标题 "sun-web.tar.gz" 指的是一份压缩文件,包含了名为 "Django_web_django_django blog_python html_python" 的项目。这个项目显然基于Python的Django框架构建了一个Web应用,主要用于创建一个博客系统。描述中...
Django博客_博客_django_preventjsv_
10-01
在本项目中,我们主要探讨的是使用Django框架构建一个功能丰富的个人博客系统。Django是Python编程语言中的一款高级Web开发框架,以其高效、安全和可扩展性著称。"preventjsv"可能指的是防止跨站脚本攻击(XSS)的一...
【安全】(一)DjangoXSS防御
财迷的博客
02-28 5075
【安全防护】(一)Django的防护机制——XSS
Web攻防之XSS,CSRF,SQL注入
weixin_30536513的博客
03-11 402
摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。 关键字:SQL注入,XSS,CSRF 1.SQL注入   所谓SQL注入式攻击,就是攻击者把SQL命令插入到W...
聚类算法-一种无监督学习方法.docx
08-12
聚类算法是一种无监督学习方法,用于将数据集中的数据点自动分组到不同的类别中,这些类别也称为“簇”或“群”。聚类的目标是让同一簇内的数据点尽可能相似,而不同簇之间的数据点尽可能不相似。聚类算法广泛应用于多种领域,如数据挖掘、模式识别、图像分析、信息检索等。 聚类算法的基本概念 无监督学习:聚类算法不需要事先标记数据点的类别标签,而是根据数据本身的相似性来分组。 相似性度量:聚类算法依赖于某种相似性或距离度量来决定数据点之间的相似程度。常用的度量包括欧氏距离、曼哈顿距离等。 目标函数:大多数聚类算法都会尝试最小化某种目标函数,例如簇内的平方误差和(SSE)。 常见的聚类算法 K-Means K-Means 是一种原型聚类算法,它通过迭代地将数据点分配到最近的质心来形成簇,并重新计算每个簇的质心,直到质心不再显著变化为止。 在 Python 的 scikit-learn 库中,可以通过 KMeans 类实现 K-Means 聚类。 层次聚类 层次聚类构建一个树状图(称为树状图或 dendrogram),显示数据点是如何逐渐合并成簇的。 这种算法可以是凝聚型(自底向上)或分裂型(自顶向下)。
45ft集装箱模型3D图纸 STEP格式.zip
08-12
45ft集装箱模型3D图纸 STEP格式.zip
Spring Boot网吧管理系统.zip
08-12
该系统严格按照需求分析制作相关模块,并利用所学知识尽力完成,但是本人由于学识浅薄,无法真正做到让该程序可以投入市场使用,仅仅简单实现部分功能,希望日后还能改善。 本系统具有以下优点: 该系统具有较高的适用性,选用B/S结构,可以在绝大部分个人平台上使用该系统。 系统将用户权限进行划分,管理员,网管和会员都能看到及操作的信息不一样,三者具备不同的操作权限。 该系统操作界面简单明了,大部分人都可以正常使用。 但也存在以下问题需要改进: 运行时窗口不能被刷新,可以改进。 系统过于简单,显示的信息有限。。 不能添加多个管理员账号,如果可以则将利于发展网吧规模,便于网吧信息集中管理。 不能实时预约接待消息和网吧反馈建议,容易被忽视,不利于管理员服务客户。
微信小程序大作业 新闻小程序
08-12
微信小程序大作业 新闻小程序
一种简单易用的通用循环队列的C语言解决方案
08-12
博文《一种简单易用的通用循环队列的C语言解决方案》实现的代码。 在实际的嵌入式编程中,消息队列的使用还是比较频繁的,已经在文章《一种简单安全的消息队列的C语言解决方案》中说明了一种队列的解决方案,但是那种设计其中还是存在一些不方便的用法,对于嵌入式系统中一些要求或者性能限制下,可能会用到循环队列,但是对于不使用操作系统的情况下,队列相关的功能就需要手动实现。所以下面将会介绍一种简单的循环队列的实现方式。
智慧城市应急指挥中心系统平台建设方案PPT(41页).pptx
最新发布
08-12
城市应急指挥系统是智慧城市建设的重要组成部分,旨在提高城市对突发事件的预防和处置能力。系统背景源于自然灾害和事故灾难频发,如汶川地震和日本大地震等,这些事件造成了巨大的人员伤亡和财产损失。随着城市化进程的加快,应急信息化建设面临信息资源分散、管理标准不统一等问题,需要通过统筹管理和技术创新来解决。 系统的设计思路是通过先进的技术手段,如物联网、射频识别、卫星定位等,构建一个具有强大信息感知和通信能力的网络和平台。这将促进不同部门和层次之间的信息共享、交流和整合,提高城市资源的利用效率,满足城市对各种信息的获取和使用需求。在“十二五”期间,应急信息化工作将依托这些技术,实现动态监控、风险管理、预警以及统一指挥调度。 应急指挥系统的建设目标是实现快速有效的应对各种突发事件,保障人民生命财产安全,减少社会危害和经济损失。系统将包括预测预警、模拟演练、辅助决策、态势分析等功能,以及应急值守、预案管理、GIS应用等基本应用。此外,还包括支撑平台的建设,如接警中心、视频会议、统一通信等基础设施。 系统的实施将涉及到应急网络建设、应急指挥、视频监控、卫星通信等多个方面。通过高度集成的系统,建立统一的信息接收和处理平台,实现多渠道接入和融合指挥调度。此外,还包括应急指挥中心基础平台建设、固定和移动应急指挥通信系统建设,以及应急队伍建设,确保能够迅速响应并有效处置各类突发事件。 项目的意义在于,它不仅是提升灾害监测预报水平和预警能力的重要科技支撑,也是实现预防和减轻重大灾害和事故损失的关键。通过实施城市应急指挥系统,可以加强社会管理和公共服务,构建和谐社会,为打造平安城市提供坚实的基础
毕业设计php网络相册-qkrp源码含文档工具包
08-12
毕业设计php网络相册-qkrp源码含文档工具包 php,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 本网站由用户模块、风采相册、留言簿模块与管理模块等构成,其中用户模块实现了用户注册、登陆与修改个人资料等功能;在线论坛提供交流平台;风采相册实现图片上载和在线浏览功能;留言簿模块实现网上留言功能;管理模块实现用户管理、论坛管理、相册管理与留言簿管理等功能。 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程(在说明文档中)
基础入门:Python Web开发与Django/Flask框架实战
课程内容全面且深入,从Python语言基础开始,逐步引导学员掌握核心技能。 首先,课程将覆盖Python语言的基础知识,包括语法和基本结构,让学员熟悉变量、数据类型、控制流(如条件语句和循环)、函数的定义和使用。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值