脚本之家 服务器常用软件
快捷导航
您的位置:首页脚本专栏python → django防止XSS注入的方法

django框架防止XSS注入的方法分析

 更新时间:2019年06月21日 09:00:11   作者:轻舞肥羊  
这篇文章主要介绍了django框架防止XSS注入的方法,结合实例形式分析了XSS攻击的原理及Django框架防止XSS攻击的相关操作技巧,需要的朋友可以参考下

本文实例讲述了django框架防止XSS注入的方法。分享给大家供大家参考,具体如下:

XSS 是常见的跨站脚本攻击,而且这种类型的错误很不容易被发现或者被开发人员忽视,当然django 框架本身是有这方面的考虑的,比如在模板中自动开启了 escape, 但事实上,我在改版我的 个人博客 yihaomen.duapp.com 时,在评论框的地方没有用到富文本编辑器,而是让用户自己输入内容,如果某个用户输入了如下类似的东西:

这是我的评论,

<script>alert('xss injection');</script>

而我在模板中是这样使用的 {{comment|safe}}, 由于使用了 safe filter ,所以这里会直接弹出对话框出来。这就是XSS 注入了。真实的项目中是不允许出现这样的情况的,用safe 的目的是为了更好的显示html标签等。所以要解决的方式是在后台接收到内容的时候,进行转义处理,特别是 "< > " 这些符号,以及 单引号,双引号等,最初,我自己写了一些替换方法。比如

def checkxss(content):
  checked_content = content
  checked_content = re.sub(r"&", "&", checked_content,0,re.I)
  checked_content = re.sub(r"'", "´", checked_content,0,re.I)
  checked_content = re.sub(r'""', """, checked_content,0,re.I)
  checked_content = re.sub(r"<", "<", checked_content,0,re.I)
  checked_content = re.sub(r">", ">", checked_content,0,re.I)
  checked_content = re.sub(r"/", "/", checked_content,0,re.I)

当然在后台处理掉这些,然后保存到数据库,再次打开的时候,在模板用|safe 过滤器,就会还原成原来的样子,确实没错。但问题是我自己画蛇添足了。因为django 自身有一系列的方法。这些方法在 django.utils.html  package中。我用这几个写一个测试.

'''
Created on 2013-11-21
@author: yihaomen.com
'''
from django.utils.html import escape, strip_tags, remove_tags
html_content = """
  <html xmlns="http://www.w3.org/1999/xhtml">
  <head>
  <script>alert("test")</script>
  <title>yihaomen.com test</title>
  <link href="/static/css/style.css" rel="external nofollow" rel="stylesheet" type="text/css" />
  </head>
  <body>
   content
  </body>
  </html>
"""
def escape_html(html):
  return escape(html);
def stript_all_tags(html):
  return strip_tags(html)
def remove_part_tags(html,tags):
  return remove_tags(html, tags)
if __name__ == '__main__':
  print "====escape all tags======"
  print escape_html(html_content)
  print "====remove all tags======"
  print strip_tags(html_content)
  print "===remove part tags.====="
  print remove_part_tags(html_content,"script html body")

当然还有更多的方法,可以查看django的代码。 以上的方法可以看到 django 可以很方便的 eacape 所有html标签,也可以部分 escape html标签,还可以只保留内容等。确实很方便。

由此可见用 django.utils.html 里面的东西,足够应付 xss 注入.

希望本文所述对大家基于Django框架的Python程序设计有所帮助。

您可能感兴趣的文章:

相关文章

  • Python接入MySQL实现增删改查的实战记录

    Python接入MySQL实现增删改查的实战记录

    这篇文章主要给大家介绍了关于Python接入MySQL实现增删改查的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2021-03-03
  • python项目运行导致内存越来越大的原因详析

    python项目运行导致内存越来越大的原因详析

    最近在跑python程序时,出现占用的内存不断增加的情况,下面这篇文章主要给大家介绍了关于python项目运行导致内存越来越大的原因详析,本文通过图文介绍的非常详细,需要的朋友可以参考下
    2022-11-11
  • windows10环境下用anaconda和VScode配置的图文教程

    windows10环境下用anaconda和VScode配置的图文教程

    这篇文章主要介绍了windows10环境下用anaconda和VScode配置的图文教程,本文通过图文并茂的形式给大家介绍的非常详细,对大家介绍的非常详细,需要的朋友可以参考下
    2020-03-03
  • Python使用回溯法子集树模板解决迷宫问题示例

    Python使用回溯法子集树模板解决迷宫问题示例

    这篇文章主要介绍了Python使用回溯法解决迷宫问题,简单讲述了迷宫问题的原理并结合实例形式分析了Python基于回溯法子集树模板解决迷宫问题的相关操作技巧与注意事项,需要的朋友可以参考下
    2017-09-09
  • Python填充任意颜色,不同算法时间差异分析说明

    Python填充任意颜色,不同算法时间差异分析说明

    这篇文章主要介绍了Python填充任意颜色,不同算法时间差异分析说明,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2020-05-05
  • Python深度学习线性代数示例详解

    Python深度学习线性代数示例详解

    这篇文章主要为大家讲解了Python深度学习中线性代数的示例详解有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步
    2021-10-10
  • python 实现归并排序算法

    python 实现归并排序算法

    python 实现归并排序算法代码,需要的朋友可以参考下
    2012-06-06
  • 如何使用七牛Python SDK写一个同步脚本及使用教程

    如何使用七牛Python SDK写一个同步脚本及使用教程

    七牛云存储的 Python 语言版本 SDK(本文以下称 Python-SDK)是对七牛云存储API协议的一层封装,以提供一套对于 Python 开发者而言简单易用的开发工具本篇文章给大家介绍如何使用七牛Python SDK写一个同步脚本及使用及使用教程,需要的朋友可以参考下
    2015-08-08
  • Python中字符串类型代码的执行函数——eval()、exec()和compile()详解

    Python中字符串类型代码的执行函数——eval()、exec()和compile()详解

    这篇文章主要介绍了Python中字符串类型代码的执行函数——eval()、exec()和compile(),字符串类型代码的执行函数有三个,都是Python的内置函数,下面逐一对这三个函数详细讲解,需要的朋友可以参考下
    2023-02-02
  • Python实现针对含中文字符串的截取功能示例

    Python实现针对含中文字符串的截取功能示例

    这篇文章主要介绍了Python实现针对含中文字符串的截取功能,结合具体实例形式分析了Python针对utf-8及gb18030编码的中文字符串截取操作相关实现技巧,需要的朋友可以参考下
    2017-09-09

最新评论