Django之XSS攻击
XSS是什么:XSS是跨站脚本攻击。
XSS可以获取用户的信息,比如登录凭证Cookie,那样就可以登录用户的账号,但是在django中,XSS 是默认阻止的。因为在django中,a标签是字符串类型的。
比如在评论中提叫script的代码,会以字符串的形式显示出来。
views.py
msg = [] def comment(request): if request.method =="GET": return render(request,"comment.html") else: v = request.POST.get("content") msg.append(v) return render(request,"comment.html") def index(request): return render(request,"index.html",{"msg":msg})
comment.html
<body>
<form action="/comment/" method="post">
<input type="text" name="content">
<input type="submit" value="submit">
</form>
</body>
</html>
index.html
<body>
<h1>评论</h1>
{% for foo in msg %}
<div>{{ foo }}</div>
{% endfor %}
</body>
</html>
结果:
但XSS也是可以生效的,那就是使其这个提交的评论是safe的。
index.html
<body>
<h1>评论</h1>
{% for foo in msg %}
<div>{{ foo|safe }}</div>
{% endfor %}
</body>
</html>
这样的话,只要在前端提交一个script的代码,那么基本上每次访问index页面都会有alert提示。
这样的话,那个script会以代码的形式注入到页面中,并运行。
但是如何不写safe,也可以阻止XSS,也既是要在提交的数据中进行筛选。
views.py
msg = [] def comment(request): if request.method =="GET": return render(request,"comment.html") else: v = request.POST.get("content") if "script" in v: return render(request,"comment",{"error":"禁止XSS注入,存在安全隐患"}) else: msg.append(v) return render(request,"comment.html")
comment.html
<body>
<form action="/comment/" method="post"> <input type="text" name="content"> <input type="submit" value="submit">{{ error }} </form>
</body>
导入from django.utils.safestring import mark_safe 也是可以的
用mark_safe也是可以阻止的。
总结:
阻止XSS的两种方式:
一、在前端模板里标记safe
二、在后端代码中使用模块的方法mark_safe
------------ END -----------