好资源导航 » 文章资讯 » django框架防止XSS注入的方法分析

django框架防止XSS注入的方法分析

2023-08-21 06:44:05 206

本文实例讲述了django框架防止XSS注入的方法。分享给大家供大家参考，具体如下：

XSS是常见的跨站脚本攻击，而且这种类型的错误很不容易被发现或者被开发人员忽视，当然django框架本身是有这方面的考虑的，比如在模板中自动开启了escape,但事实上，我在改版我的个人博客yihaomen.duapp.com时，在评论框的地方没有用到富文本编辑器，而是让用户自己输入内容，如果某个用户输入了如下类似的东西:

这是我的评论，

而我在模板中是这样使用的{{comment|safe}},由于使用了safefilter，所以这里会直接弹出对话框出来。这就是XSS注入了。真实的项目中是不允许出现这样的情况的，用safe的目的是为了更好的显示html标签等。所以要解决的方式是在后台接收到内容的时候，进行转义处理，特别是"<>"这些符号，以及单引号，双引号等，最初，我自己写了一些替换方法。比如

defcheckxss(content):
checked_content=content
checked_content=re.sub(r"&","&",checked_content,0,re.I)
checked_content=re.sub(r"'","´",checked_content,0,re.I)
checked_content=re.sub(r'""',""",checked_content,0,re.I)
checked_content=re.sub(r"<","<",checked_content,0,re.I)
checked_content=re.sub(r">",">",checked_content,0,re.I)
checked_content=re.sub(r"/","/",checked_content,0,re.I)

当然在后台处理掉这些，然后保存到数据库，再次打开的时候，在模板用|safe过滤器，就会还原成原来的样子，确实没错。但问题是我自己画蛇添足了。因为django自身有一系列的方法。这些方法在django.utils.html package中。我用这几个写一个测试.

'''
Createdon2013-11-21
@author:yihaomen.com
'''
fromdjango.utils.htmlimportescape,strip_tags,remove_tags
html_content="""



yihaomen.comtest



content


"""
defescape_html(html):
returnescape(html);
defstript_all_tags(html):
returnstrip_tags(html)
defremove_part_tags(html,tags):
returnremove_tags(html,tags)
if__name__=='__main__':
print"====escapealltags======"
printescape_html(html_content)
print"====removealltags======"
printstrip_tags(html_content)
print"===removeparttags.====="
printremove_part_tags(html_content,"scripthtmlbody")

当然还有更多的方法，可以查看django的代码。以上的方法可以看到django可以很方便的eacape所有html标签，也可以部分escapehtml标签，还可以只保留内容等。确实很方便。

由此可见用django.utils.html里面的东西，足够应付xss注入.

希望本文所述对大家基于Django框架的Python程序设计有所帮助。

声明：本文内容来源于网络，版权归原作者所有，内容由互联网用户自发贡献自行上传，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任。如果您发现有涉嫌版权的内容，欢迎发送邮件至：czq8825#qq.com（发邮件时，请将#更换为@）进行举报，并提供相关证据，一经查实，本站将立刻删除涉嫌侵权内容。

返回顶部
3162201930
czq8825@qq.com

django框架防止XSS注入的方法分析

热门推荐

随机推荐