django框架防止XSS注入的方法分析

更新时间：2019年06月21日 09:00:11 作者：轻舞肥羊

这篇文章主要介绍了django框架防止XSS注入的方法,结合实例形式分析了XSS攻击的原理及Django框架防止XSS攻击的相关操作技巧,需要的朋友可以参考下

本文实例讲述了django框架防止XSS注入的方法。分享给大家供大家参考，具体如下：

XSS 是常见的跨站脚本攻击，而且这种类型的错误很不容易被发现或者被开发人员忽视，当然django 框架本身是有这方面的考虑的，比如在模板中自动开启了 escape, 但事实上，我在改版我的个人博客 yihaomen.duapp.com 时，在评论框的地方没有用到富文本编辑器，而是让用户自己输入内容，如果某个用户输入了如下类似的东西:

这是我的评论，

<script>alert('xss injection');</script>

而我在模板中是这样使用的 {{comment|safe}}, 由于使用了 safe filter ，所以这里会直接弹出对话框出来。这就是XSS 注入了。真实的项目中是不允许出现这样的情况的，用safe 的目的是为了更好的显示html标签等。所以要解决的方式是在后台接收到内容的时候，进行转义处理，特别是 "< > " 这些符号，以及单引号，双引号等，最初，我自己写了一些替换方法。比如

def checkxss(content):
  checked_content = content
  checked_content = re.sub(r"&", "&", checked_content,0,re.I)
  checked_content = re.sub(r"'", "´", checked_content,0,re.I)
  checked_content = re.sub(r'""', """, checked_content,0,re.I)
  checked_content = re.sub(r"<", "<", checked_content,0,re.I)
  checked_content = re.sub(r">", ">", checked_content,0,re.I)
  checked_content = re.sub(r"/", "/", checked_content,0,re.I)

当然在后台处理掉这些，然后保存到数据库，再次打开的时候，在模板用|safe 过滤器，就会还原成原来的样子，确实没错。但问题是我自己画蛇添足了。因为django 自身有一系列的方法。这些方法在 django.utils.html package中。我用这几个写一个测试.

'''
Created on 2013-11-21
@author: yihaomen.com
'''
from django.utils.html import escape, strip_tags, remove_tags
html_content = """
  <html xmlns="http://www.w3.org/1999/xhtml">
  <head>
  <script>alert("test")</script>
  <title>yihaomen.com test</title>
  <link href="/static/css/style.css" rel="external nofollow" rel="stylesheet" type="text/css" />
  </head>
  <body>
   content
  </body>
  </html>
"""
def escape_html(html):
  return escape(html);
def stript_all_tags(html):
  return strip_tags(html)
def remove_part_tags(html,tags):
  return remove_tags(html, tags)
if __name__ == '__main__':
  print "====escape all tags======"
  print escape_html(html_content)
  print "====remove all tags======"
  print strip_tags(html_content)
  print "===remove part tags.====="
  print remove_part_tags(html_content,"script html body")

当然还有更多的方法，可以查看django的代码。以上的方法可以看到 django 可以很方便的 eacape 所有html标签，也可以部分 escape html标签，还可以只保留内容等。确实很方便。

由此可见用 django.utils.html 里面的东西，足够应付 xss 注入.

希望本文所述对大家基于Django框架的Python程序设计有所帮助。

您可能感兴趣的文章:

django
XSS

python实现线性插值的示例
线性插值是针对一维数据的插值方法，它根据一维数据序列中需要插值的点的左右临近两个数据来进行数值估计，这篇文章主要介绍了python实现线性插值,需要的朋友可以参考下
2022-12-12
python paramiko连接ssh实现命令
这篇文章主要为大家介绍了python paramiko连接ssh实现的命令详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-07-07
TensorFlow可视化工具TensorBoard默认图与自定义图
这篇文章主要介绍了TensorFlow可视化工具TensorBoard默认图与自定义图的使用操作示例，有需要的朋友可以借鉴参考下，希望能够有所帮助
2021-10-10
对pandas的行列名更改与数据选择详解
今天小编就为大家分享一篇对pandas的行列名更改与数据选择详解，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2018-11-11
python爬虫猫眼电影和电影天堂数据csv和mysql存储过程解析
这篇文章主要介绍了python爬虫猫眼电影和电影天堂数据csv和mysql存储过程解析,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-09-09
Pycharm使用之设置代码字体大小和颜色主题的教程
今天小编就为大家分享一篇Pycharm使用之设置代码字体大小和颜色主题的教程，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2019-07-07
python实现读取类别频数数据画水平条形图案例
这篇文章主要介绍了python实现读取类别频数数据画水平条形图案例，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2020-04-04
Python实现PDF扫描件生成DOCX或EXCEL功能
这篇文章主要介绍了如何利用Python实现将PDF扫描件转为DOCX或EXCEL文件格式功能，文中的示例代码讲解详细，需要的小伙伴可以参考一下
2022-03-03
详解PyTorch批训练及优化器比较
本篇文章主要介绍了详解PyTorch批训练及优化器比较，详细的介绍了什么是PyTorch批训练和PyTorch的Optimizer优化器，非常具有实用价值，需要的朋友可以参考下
2018-04-04
django 2.0更新的10条注意事项总结
Django 是 Python Web 开发最常用的框架之一，跟进它的最新变化绝对是必须的。下面这篇文章主要给大家介绍了关于django 2.0更新的10条注意事项，文中通过示例代码介绍的非常详细，需要的朋友可以参考借鉴，下面来一起看看吧。
2018-01-01