第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击
sql注入攻击
也就是黑客通过表单提交的地方,在表单里输入了sql语句,就是通过SQL语句绕开程序判断,获取到数据库的内容
所以需要对用户输入的内容进行判断合法性,Django的orm对sql注入进行了处理
xss攻击
就是黑客通过,构造网站的动态url传参在URL传入js代码,获取到用户的cookie,在根据cookie来冒充用户做用户行为,所以尽量用post来提交信息,如果有动态get请求的URL要对参数做判断
第一步
第二步
csrf攻击
就是用户登录了一个可信任的网站A时保存了A网站的cookie,当用户又访问了b网站,b网站里做了伪装用户对a网站的请求操作,那么当用户在请求b网站时,就会自动伪装用户行为到A网站操作,因为A网站的cookie还存在, 所以Django里一定要启用Django的csrf攻击防范
