数据结构
网络
关系数据库管理系统(RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法学如何在Django中防止跨站脚本攻击(XSS)?
未能对用户提交的文本进行适当转义后再将其渲染到HTML中的Web应用程序容易受到跨站脚本攻击(XSS)的攻击。攻击者可以使用此方法将任意HTML注入您的网页,通常以<script>元素的形式。
XSS攻击经常被攻击者用来窃取cookie和会话信息,以及欺骗用户向错误的人提供个人信息。这也被称为网络钓鱼。我们将研究一个常见的案例,因为这种类型的攻击可以采取许多不同的形式,并且几乎有无限的变化。
让我们考虑一个简单的欢迎页面。
#views.py
def welcome(request):
name= request.GET(‘name’,’person’)
return render_to_response(“welcome.html”,{“name”:name}}
上面在views.py中显示的代码只是使用GET参数读取姓名并将姓名传递给welcome.html模板。
当用户输入他们的姓名(例如,tutorialspoint)时,上述代码在网页上渲染HTML页面时的输出如下。
<h1>Welcome, tutorialspoint!</h1>
攻击者在输入时可能会发送恶意内容以及姓名。例如,攻击者发送的数据可能采用以下形式。
<h1> Welcome, <b>tutorialspoint</b></h1>
这里的<b>,</b>标签并非恶意代码,但其他内容可能会危害站点和数据。攻击者可以包含一整套HTML代码,这些代码可以劫持您的页面并显示任意内容。这种类型的攻击已被用来欺骗用户将数据输入到看起来像是他们银行网站或电子商务网站的页面中,但实际上是一个被XSS劫持的表单,该表单会将他们的银行账户信息提交给攻击者。
防止XSS攻击的解决方案
解决此攻击的方法是简单地转义任何可能来自用户的內容。
上面HTML页面中的代码可以改写如下,这可以提供一些针对XSS攻击的安全保护。
<h1>Welcome, {{ name|escape }} !</h1>
无论对代码进行了哪些更改,即使避免XSS攻击的解决方案是转义用户提供的內容,也没有任何自动解决方案能够始终100%地保护您的网站免受XSS攻击。
修改Django以自动转义在模板中显示的所有变量的工作一直在进行中,但直到现在才完全完成。
到目前为止,Django的模板一直避免这种行为,因为它以一种微妙的方式改变了显示变量的简单方法。这是一个棘手的问题。虽然这与Django添加隐藏的隐式行为的核心价值观相违背,但安全性也至关重要。将来,Django很有可能开发出自动转义(或虚拟自动转义)行为。
480 次浏览
