################# XSS攻击: XSS(Cross Site Script)攻击又叫做跨站脚本攻击。他的原理是用户在使用具有XSS漏洞的网站的时候,向这个网站提交一些恶意的代码, 当用户在访问这个网站的某个页面的时候,这个恶意的代码就会被执行,从而来破坏网页的结构,获取用户的隐私信息等。 ### XSS攻击场景: 比如A网站有一个发布帖子的入口,如果用户在提交数据的时候,提交了一段js代码比如:<script>alert("hello world");</script>, 然后A网站在渲染这个帖子的时候,直接把这个代码渲染了,那么这个代码就会执行,会在浏览器的窗口中弹出一个模态对话框来显示hello world! 如果攻击者能成功的运行以上这么一段js代码,那他能做的事情就有很多很多了! ### XSS攻击防御: 1.如果不需要显示一些富文本,那么在渲染用户提交的数据的时候,直接进行转义就可以了。在Django的模板中默认就是转义的。 也可以把数据在存储到数据库之前,就转义再存储进去,这样以后在渲染的时候,即使不转义也不会有安全问题,示例代码如下: from django.template.defaultfilters import escape from .models import Comment from django.http import HttpResponse def comment(request): content = request.POST.get("content") escaped_content = escape(content) # 转义 Comment.objects.create(content=escaped_content) return HttpResponse('success') 2.如果对于用户提交上来的数据包含了一些富文本(比如:给字体换色,字体加粗等),那么这时候我们在渲染的时候也要以富文本的形式进行渲染, 也即需要使用safe过滤器将其标记为安全的,这样才能显示出富文本样式。但是这样又会存在一个问题,如果用户提交上来的数据存在攻击的代码呢, 那将其标记为安全的肯定是有问题的。示例代码如下: # views.py def index(request): message = "<span style='color:red;'>红色字体</span><script>alert('hello world');</script>"; return render_template(request,'index.html',context={"message":message}) # index.html:{{message:safe}} <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>首页</title> </head> <body> <ul> {% for comment in comments %} <li>{{ comment.content|safe }}</li> {% endfor %} </ul> <form action="{% url 'comment' %}" method="post"> {% csrf_token %} <textarea name="content" id="" cols="30" rows="3"></textarea> <p> <input type="submit" value="提交"> </p> </form> </body> </html> 那么这时候该怎么办呢?这时候我们可以指定某些标签我们是需要的(比如:span标签), 而某些标签我们是不需要的(比如:script)那么我们在服务器处理数据的时候,就可以将这些需要的标签保留下来,把那些不需要的标签进行转义, 或者干脆移除掉,这样就可以解决我们的问题了。这个方法是可行的,包括很多线上网站也是这样做的,在Python中,有一个库可以专门用来处理这个事情, 那就是sanitizer。接下来讲下这个库的使用。