当用户提交评论的时候,比如如下评论内容
111 <scripy>alert(111);</scripy>
这样当现实评论的时候会先弹出111弹框,再显示评论。这就是xss攻击。
所以,我们需要对评论内容进行检测,对恶意代码进行删除,不让不存到数据库。
如下解决方案:
def add_article(request): if request.method=="POST": title=request.POST.get('title') article_content=request.POST.get('article_content') # 获取评论内容 user=request.user # 使用BeautifulSoup模块 from bs4 import BeautifulSoup # bs=BeautifulSoup(article_content,"html.parser") desc=bs.text[0:150]+"..." # 过滤非法标签,会寻找到这个页面的所有标签 for tag in bs.find_all(): print(tag.name) # 如果有非法标签 if tag.name in ["script", "link"]:
# 使用decompose()删除非法标签 tag.decompose() article_obj=models.Article.objects.create(user=user,title=title,desc=desc) models.ArticleDetail.objects.create(content=str(bs),article=article_obj) return HttpResponse("添加成功")