django框架防止XSS注入的方法分析

更新時間：2019年06月21日 09:00:11 作者：輕舞肥羊

這篇文章主要介紹了django框架防止XSS注入的方法,結合實例形式分析了XSS攻擊的原理及Django框架防止XSS攻擊的相關操作技巧,需要的朋友可以參考下

本文實例講述了django框架防止XSS注入的方法。分享給大家供大家參考，具體如下：

XSS 是常見的跨站腳本攻擊，而且這種類型的錯誤很不容易被發(fā)現(xiàn)或者被開發(fā)人員忽視，當然django 框架本身是有這方面的考慮的，比如在模板中自動開啟了 escape, 但事實上，我在改版我的個人博客 yihaomen.duapp.com 時，在評論框的地方沒有用到富文本編輯器，而是讓用戶自己輸入內容，如果某個用戶輸入了如下類似的東西:

這是我的評論，

<script>alert('xss injection');</script>

而我在模板中是這樣使用的 {{comment|safe}}, 由于使用了 safe filter ，所以這里會直接彈出對話框出來。這就是XSS 注入了。真實的項目中是不允許出現(xiàn)這樣的情況的，用safe 的目的是為了更好的顯示html標簽等。所以要解決的方式是在后臺接收到內容的時候，進行轉義處理，特別是 "< > " 這些符號，以及單引號，雙引號等，最初，我自己寫了一些替換方法。比如

def checkxss(content):
  checked_content = content
  checked_content = re.sub(r"&", "&", checked_content,0,re.I)
  checked_content = re.sub(r"'", "´", checked_content,0,re.I)
  checked_content = re.sub(r'""', """, checked_content,0,re.I)
  checked_content = re.sub(r"<", "<", checked_content,0,re.I)
  checked_content = re.sub(r">", ">", checked_content,0,re.I)
  checked_content = re.sub(r"/", "/", checked_content,0,re.I)

當然在后臺處理掉這些，然后保存到數據庫，再次打開的時候，在模板用|safe 過濾器，就會還原成原來的樣子，確實沒錯。但問題是我自己畫蛇添足了。因為django 自身有一系列的方法。這些方法在 django.utils.html package中。我用這幾個寫一個測試.

'''
Created on 2013-11-21
@author: yihaomen.com
'''
from django.utils.html import escape, strip_tags, remove_tags
html_content = """
  <html xmlns="http://www.w3.org/1999/xhtml">
  <head>
  <script>alert("test")</script>
  <title>yihaomen.com test</title>
  <link href="/static/css/style.css" rel="external nofollow" rel="stylesheet" type="text/css" />
  </head>
  <body>
   content
  </body>
  </html>
"""
def escape_html(html):
  return escape(html);
def stript_all_tags(html):
  return strip_tags(html)
def remove_part_tags(html,tags):
  return remove_tags(html, tags)
if __name__ == '__main__':
  print "====escape all tags======"
  print escape_html(html_content)
  print "====remove all tags======"
  print strip_tags(html_content)
  print "===remove part tags.====="
  print remove_part_tags(html_content,"script html body")

當然還有更多的方法，可以查看django的代碼。以上的方法可以看到 django 可以很方便的 eacape 所有html標簽，也可以部分 escape html標簽，還可以只保留內容等。確實很方便。

由此可見用 django.utils.html 里面的東西，足夠應付 xss 注入.

希望本文所述對大家基于Django框架的Python程序設計有所幫助。

您可能感興趣的文章:

django
XSS

python實現(xiàn)0到1之間的隨機數方式
這篇文章主要介紹了python實現(xiàn)0到1之間的隨機數方式，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2022-07-07
解決import tensorflow導致jupyter內核死亡的問題
這篇文章主要介紹了解決import tensorflow導致jupyter內核死亡的問題，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2021-02-02
Python中使用scapy模擬數據包實現(xiàn)arp攻擊、dns放大攻擊例子
這篇文章主要介紹了Python中使用scapy模擬數據包實現(xiàn)arp攻擊、dns放大攻擊例子,本文重點在于scapy有使用上,需要的朋友可以參考下
2014-10-10
Python面向對象類的繼承實例詳解
這篇文章主要介紹了Python面向對象類的繼承,結合實例形式詳細分析了Python面向對象程序設計中類的繼承原理、定義、使用方法及相關操作注意事項,需要的朋友可以參考下
2018-06-06
python 借助numpy保存數據為csv格式的實現(xiàn)方法
今天小編就為大家分享一篇python 借助numpy保存數據為csv格式的實現(xiàn)方法，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2018-07-07
Python 判斷奇數偶數的方法
今天小編就為大家分享一篇Python 判斷奇數偶數的方法，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2018-12-12
python實現(xiàn)xlsx文件分析詳解
這篇文章主要為大家詳細介紹了python實現(xiàn)xlsx文件分析，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2018-01-01
selenium+python自動化測試之頁面元素定位
這篇文章主要介紹了selenium+python自動化測試之頁面元素定位，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2019-01-01
BeautifulSoup中find和find_all的使用詳解
這篇文章主要介紹了BeautifulSoup中find和find_all的使用詳解，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2020-12-12
Python動態(tài)賦值的陷阱知識點總結
在本文中我們給大家整理了關于Python動態(tài)賦值的陷阱的相關知識點內容，需要的朋友們學習下。
2019-03-03