Django如何實現防止XSS攻擊
一、什么是XSS攻擊
xss攻擊:----->web注入
xss跨站腳本攻擊(Cross site script,簡稱xss)是一種“HTML注入”,由于攻擊的腳本多數時候是跨域的,所以稱之為“跨域腳本”。
我們常常聽到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本質上就是把輸入的數據變成可執行的程序語句。SQL注入是如此,XSS也如此,只不過XSS一般注入的是惡意的腳本代碼,這些腳本代碼可以用來獲取合法用戶的數據,如Cookie信息。
PS: 把用戶輸入的數據以安全的形式顯示,那只能是在頁面上顯示字符串。
django框架中給數據標記安全方式顯示(但這種操作是不安全的!):
- 模版頁面上對拿到的數據后寫上safe. ----> {{XXXX|safe}} - 在后臺導入模塊:from django.utils.safestring import mark_safe把要傳給頁面的字符串做安全處理 ----> s = mark_safe(s)
二、測試代碼
實施XSS攻擊需要具備兩個條件:
一、需要向web頁面注入惡意代碼;
二、這些惡意代碼能夠被瀏覽器成功的執行。
解決辦法:
1、一種方法是在表單提交或者url參數傳遞前,對需要的參數進行過濾。
2、在后臺對從數據庫獲取的字符串數據進行過濾,判斷關鍵字。
3、設置安全機制。
django框架:內部機制默認阻止了。它會判定傳入的字符串是不安全的,就不會渲染而以字符串的形式顯示。如果手賤寫了safe,那就危險了,若想使用safe,那就必須在后臺對要渲染的字符串做過濾了。所以在開發的時候,一定要慎用安全機制。尤其是對用戶可以提交的并能渲染的內容!!!
這里是不存在xss漏洞的寫法,因為django已經做了防攻擊措施
index.html
<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <title>Title</title></head><body><h1>評論</h1>{% for item in msg %}{# <div>{{ item|safe }}</div>#} #這里被注釋的,是因為,|safe 加了這個就認為是安全的了,寫入 <script> alert(123)</script> 就會惡意加載 <div>{{ item}}</div>{% endfor %}</body></html>
conment.html
<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <title>Title</title></head><body><form action='/comment/' method='POST'> <input type='text' name='content'> <input type='submit' value='提交'></form></body></html>
views.py
from django.shortcuts import render,HttpResponse# Create your views here.msg = []def comment(request): if request.method == 'GET': return render(request,'comment.html') else: v = request.POST.get('content') msg.append(v) return render(request,'comment.html')def index(request): return render(request,'index.html',{'msg':msg})########################################################def test(request): from django.utils.safestring import mark_safe temp = '<a href=’http://www.baidu.com’>百度</a>' newtemp = mark_safe(temp) #這里相當于加了 |safe ,把字符串認為是安全的,執行代碼,如果不加 test.html里面 {{ temp }} 就只會顯示出字符串,而不是 a 標簽 return render(request,’test.html’,{’temp’:newtemp})
urls.py
from app01 import viewsurlpatterns = [ url(r’^admin/’, admin.site.urls), url(r’^index/’, views.index), url(r’^comment/’,views.comment),]
------------------------------------######################_-------------------------------
以下是做了用戶輸入判斷,檢測是否有特殊字符
views.py
from django.shortcuts import render,HttpResponse# Create your views here.msg = []def comment(request): if request.method == 'GET': return render(request,'comment.html') else: v = request.POST.get('content') if 'script' in v: return render(request, 'comment.html',{’error’:’小比崽子’}) else: msg.append(v) return render(request,’comment.html’)def index(request): return render(request,'index.html',{'msg':msg})
index.html
<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <title>Title</title></head><body><h1>評論</h1>{% for item in msg %} <div>{{ item|safe }}</div>{# <div>{{ item}}</div>#}{% endfor %}</body></html>
comment.html
<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <title>Title</title></head><body><form action='/comment/' method='POST'> <input type='text' name='content'> <input type='submit' value='提交'>{{ error }}</form></body></html>
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持好吧啦網。
相關文章:
網公網安備