每日10行代码180:flask中用escape来防止html逃逸,避免xss攻击

已于 2023-03-27 11:06:27 修改
阅读量762 收藏 1
点赞数
分类专栏: Python Flask 每日10行代码 文章标签: flask python
于 2023-03-26 16:11:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44981444/article/details/129780414
版权
每日10行代码 同时被 3 个专栏收录
178 篇文章 18 订阅
订阅专栏
Python
176 篇文章 4 订阅
订阅专栏
Flask
3 篇文章 0 订阅
订阅专栏

继续学习flask,今天学到了:html-escaping 这一节。
这节讲了一escape这个函数,我写了一小段代码来测试下。

from flask import Flask
from markupsafe import escape

app = Flask(__name__)

@app.route('/hello1/<path:name>')       
def hello_world1(name):
   return 'Hello %s!' %name

@app.route('/hello2/<path:name>')       
def hello_world2(name):
   return 'Hello %s!' %escape(name)    # 加上escape

@app.route('/hello3/<name>')       
def hello_world3(name):
   return 'Hello %s!' %escape(name)

if __name__ == '__main__':
   app.run(debug=True)

因为flask的路由函数接收到内容后会默认把他当成html来解析,这样就有可能产生安全问题。所以需要引入escape函数来避免一些不合法的输入,例如
<script>alert("bad")</script> 这种类型的js脚本。
hello_world1:
在这里插入图片描述
hello_world2:
在这里插入图片描述
hello_world3:
在这里插入图片描述
其实我最开始的代码就是hello_world3,但是输了后发现报错,原因是这一串js代码里有斜线,而flask把斜线当成路由的分隔标志。所以这里就出错了。正确的应该是像hello_world1中那样。

今天学到的其他知识:
flask运行的程序默认只能本机访问,如果需要让其他地址访问,需要在运行时加上--host=0.0.0.0

天天卡丁
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask基础(1)
weixin_44806420的博客
08-14 349
flask本身是一个内核,其他几乎所有的功能都要用到扩展(邮件扩展Flask-Mail,用户认证Flask-Login),都需要用第三方的扩展来实现。比如可以用Flask-extension加入ORM、窗体验证工具,文件上传、身份验证等。Flask没有默认使用的数据库,可以选择MySQL,也可以用NoSQL。其WSGI工具箱采用Werkzeug(路由模块),模板引擎则使用Jinja2(flask的...
python flask框架
enginebrkalsy的博客
05-13 258
jinjia2模板过滤器 from flask import Flask,render_template app =Flask(__name__) @app.route('/') def index(): context ={ 'name':'engine', 'age':18, } return render_template('index.html',**context) if __name__ == '__main__':
Flask学习笔记
柷敔的博客
05-19 254
最近要把工程项目部署到服务器上。由于项目是用python3写的,所以大致学习了一下pythonFlask架构,以此构建网络应用。初步体验了一下,只需要一两分钟就可以编写出简单的网站。也可以直接看官网资料学习。
Flask-HTMLmin:Flask html响应最小化器
02-05
Flask-HTMLmin 缩小烧瓶text/html MIME类型响应。 只需将MINIFY_HTML = True添加到您的部署配置中,以最小化MINIFY_HTML = True应用程序HTML和文本响应。 安装 要安装Flask-HTMLmin,只需: pip install Flask-HTMLmin 或使用pipenv(推荐): pipenv install Flask-HTMLmin 或者,您可以下载存储库并通过执以下操作手动安装: git clone [email protected]:hamidfzm/Flask-HTMLmin.git cd Flask-HTMLmin
安装flask遇到cannot import name ‘escape‘ from ‘jinja2‘ 的问题
yo*run笔记
08-24 7230
安装flask遇到cannot import name 'escape' from 'jinja2' 的问题及解决办法
关于HTML 代码注入,XSS攻击问题解决
热门推荐
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进处理。我们输入如下的代码:<script> var body= document.body;
Flask入门
爱敲代码的洋葱
04-08 136
Flask入门1.快速上手1.1.一个最简单的示例1.2.获取参数1.2.1.获取路由参数1.2.2.获取request中参数1.2.3.文件上传 1.快速上手 1.1.一个最简单的示例 安装flask: pip3 install flask 创建app.py文件: from flask import Flask app = Flask(__name__) # 设置路由 @app.route('/') def index(): # 进业务处理 return 'Index Page' @
Flask实战】Flask知识点总结(一)
一个甜甜的大橙子的博客
04-02 2922
Flask实战中一些小的知识点,非常有用,建议收藏
html escape函数,Javascript escape() 函数和unescape() 函数
weixin_28736145的博客
06-22 2414
一、escape函数escape()函数主要作用就是对字符串进编码,以便它们能在所有计算机上可读。语法:escape(charString)说明:charString是必选参数,表示要进编码的字符串或文字。escape()函数返回一个包含charString内容的字符串值(Unicode格式)。除了个别如“*@”之类的符号外,其余所有空格、标点符号以及其他非ASCII字符均可用“%xx”这种形...
Web系统常见漏洞修复
Desiy的博客
09-12 1140
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银、金融等。他们会在项目上线前进代码安全检测,通过了对方才会发布上线。正好我所在企业中的交付团队遇到了这种情况,我将最后我们团队针对一些漏洞的修复代码分享出来供大家参考,方便未来自己修复同样的漏洞,当然漏洞的种类不是很全,我会在以后遇到其他类型时及时更新。
Python大数据犯罪嫌疑k匿名处理数据平台 框架:flask+ html + jquery + python + 预测
04-28
框架:flask+ html + css + jquery + python + 预测 +mysql MySQL数据量重置id truncate table admin 预测方式:回归 年龄,住址,学历 预测犯罪手法 角色管理员(公安内部人员) admin 123456 模块介绍 管理员 ...
VulnerableWebApp:易受攻击的 Flask 应用程序
05-29
易受攻击的网络应用程序 在这个应用程序中有许多网络安全问题。 你能发现并修复它们吗? 这个网站是我为我在Liceo Lorenzini 上的一堂课而建立的。
基于Flask的RESTful API实战代码:集成Flask-SQLAlchemy与MySQL
最新发布
03-25
技术栈:项目基于 flask_restful 扩展进RESTful接口开发,运用 flask-sqlalchemy 来简化数据库操作,并以 MySQL 作为后端数据库。 文件结构概览: - Python脚本文件 (.py):23个 - 配置文件 (.xml):6个 - 版本...
Python高校舆情分析监控系统 框架:flask+ html + css + jquery + python + TD-IDF
08-01
Python高校舆情分析监控...框架:flask+ html + css + jquery + python + TD-IDF,IDA,NLP算法 +mysql MySQL数据量重置id truncate table tablename python3.9 高校舆情分析监控系统 爬虫三个模块 贴吧 微博 新闻
Flask-jinja2过滤
qq_43701401的博客
10-15 176
jinja2过滤 jinja2过滤是由管道符“|”表示过滤 例: {{ name|length }} 过滤器相当于把一个函数传入当前变量,然后由过滤器实现自己的功能返回响应的值,以下为过滤器的功能: 例: abs(Value): 返回一个数值这个数值不管是证书还是负数 default(value,default_value,boolean=false):如果当前变量没有值那么就使用参数中的默认数值 escape(VALUE):转义字符,会将HTML中的符号转换 first(VALUE):返回一个序列的第一
Js特殊字符转义之htmlEscape()方法
樊建华
08-26 2万+
有时候要解决问题,常常需要将用户输入的特殊字符进转义,原生js貌似还没有直接对其专业的方法,最近再读Js高级程序设计 的时候刚好看到,碰巧项目中也刚好需要使用次方法,于是就之家搬来用了。 网上关于转义的方法很多,其实原理基本一样,再次就把代码直接搬来分享给大家 /*传入html字符串源码即可*/ function htmlEscape(text){ return text.rep...
flask处理No module named ‘flask._compat‘后又遇cannot import name ‘escape‘ from ‘jinja2‘
qq_17328759的博客
11-29 7778
lask处理No module named ‘flask._compat‘后又遇cannot import name 'escape' from 'jinja2'
flask入门学习笔记(一)
qq_43470698的博客
05-11 402
flask入门学习笔记(一)flask是什么hello world源码运HTML 转义(escaping)URLrouting动态URL路由反向解析函数url_for() 内容主要来源于flask官方文档 本文代码均在ubuntu环境下运,主要集中于内容学习,安装过程不详细展开。 作为博主自己的学习记录,但是如果能帮到你我也很开心啦~ flask是什么 Flask是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2 。其
html escape函数,JavaScript中escape()函数的使用方法
weixin_28920823的博客
06-22 2130
导语:我们在传递参数时,为了避免服务器端出现乱码,常常会要用到编码函数,urlencode、HtmlEncode、base64_encode等。本文给大家详细讲解JavaScript中escape()函数的使用方法。在很多脚本语言的应用当中,escape函数是一个可转换编码的函数,比如javascript 的 ajax 中,向test.asp传递参数?username=参数,可先将"参数"用esc...
flask中用html嵌套多个html的高阶方法
03-29
Flask中,可以使用模板继承的方式来嵌套多个HTML文件。模板继承是一种将一个基础模板与其他模板结合使用的技术,这样可以在基础模板中定义通用的结构和样式,然后在其他模板中使用该结构和样式,并且可以在其他...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值