【Django | 安全防护】防止XSS跨站脚本攻击

简介: >🤵‍♂️ 个人主页: [@计算机魔术师](https://cpt-magician.blog.csdn.net/?type=blog)👨‍💻 作者简介:CSDN内容合伙人,全栈领域优质创作者。🌐 推荐一款找工作神器网站: [牛客网🎉🎉|笔试题库|面试经验|实习招聘内推 ](https://www.nowcoder.com/link/pc_csdncpt_jsjmss_python) 还没账户的小伙伴 [速速点击链接跳转牛客网登录注册](https://www.nowcoder.com/link/pc_csdncpt_jsjmss_python) 开始刷爆题库,速速通关

在这里插入图片描述

🤵‍♂️ 个人主页: @计算机魔术师
👨‍💻 作者简介:CSDN内容合伙人,全栈领域优质创作者。

🌐 推荐一款找工作神器网站: 牛客网🎉🎉|笔试题库|面试经验|实习招聘内推
还没账户的小伙伴 速速点击链接跳转牛客网登录注册 开始刷爆题库,速速通关面试吧🙋‍♂️

该文章收录专栏
---【Django | 项目开发】从入门到上线 专栏---

@[toc]

一、XSS攻击过程原理

在这里插入图片描述
创建一个 XXS脚本漏洞作为演示

我们创建视图函数返回模型对象的字段

  1. 创建视图函数
"""
直接返回 HTML内容的视图,(存在XXS cross site scripting 漏洞,能被攻击者使用)
"""


def resume_datail(request, pk):
    try:
        resume = Resume.objects.get(pk=pk)
        content = f"name: {resume.username} <br> introduction: {resume.candidate_introduction} <br>"
        return HttpResponse(content)
    except Resume.DoesNotExist:
        raise Http404(_("resume does not exist"))
  1. 添加路由环境(只能开发环境使用,由于演示漏洞环境,我们放在添加最后面路由)
from django.conf import settings

# 测试是否为开发环境
if settings.DEBUG:

    urlpatterns += [
        re_path(r'^resume/detail/(?P<pk>\d+)/$', jobs.views.resume_datail, name='resume_datail')
    ]

这个视图函数只返回了两个字段,但已经足够用来演示XXS攻击原理了
在这里插入图片描述

二、假设我是一名攻击者🐱‍👤

原理

攻击者将自己的个人信息填写上 javascript脚本,那么我们作为用户去查看字段时,会 直接渲染 信息内容,此时就会 运行攻击脚本script进行发送信息,删除用户等操作
  1. 创建一名攻击者用户,在个人信息填上攻击的代码

在这里插入图片描述

  1. 跳转到该页面(可以看到直接显示cookie信息😱😱)

在这里插入图片描述
可以看到,攻击者可以通过此方法得到cookie ,还可以对得到用户的更多信息,以及增删改查操作,这是很危险的! 🤯

三、修复漏洞🔨

我们可以用函数html.escape()对其做一个转义最建议的方法是使用系统的render方法django自带模板机制渲染页面

  • html.escape()方法很简单,就是将"&", "<" 和 ">" 符号变成 HTML-safe sequences,这样就可以将字符串单纯表示出来

html.escape()源码

def escape(s, quote=True):
    """
    Replace special characters "&", "<" and ">" to HTML-safe sequences.
    If the optional flag quote is true (the default), the quotation mark
    characters, both double quote (") and single quote (') characters are also
    translated.
    """
    s = s.replace("&", "&amp;") # Must be done first!
    s = s.replace("<", "&lt;")
    s = s.replace(">", "&gt;")
    if quote:
        s = s.replace('"', "&quot;")
        s = s.replace('\'', "&#x27;")
    return s

我们将之前的视图函数添加该方法

import html
def resume_datail(request, pk):
    try:
        resume = Resume.objects.get(pk=pk)
        content = f"name: {resume.username} <br> introduction: {resume.candidate_introduction} <br>"

        return HttpResponse(html.escape(content))
    except Resume.DoesNotExist:
        raise Http404(_("resume does not exist"))

可以看到此时改脚本不会运行🎉

在这里插入图片描述

但是通常情况不用该方法,建议使用render渲染模板,或者使用我们的通用类视图。

                    🤞到这里,如果还有什么疑问🤞
        🎩欢迎私信博主问题哦,博主会尽自己能力为你解答疑惑的!🎩
            🥳如果对你有帮助,你的赞是对博主最大的支持!!🥳
相关文章
|
1月前
|
JavaScript 安全 前端开发
同源策略如何防止 XSS 攻击?
【10月更文挑战第31天】同源策略通过对 DOM 访问、Cookie 访问、脚本执行环境和跨源网络请求等多方面的严格限制,构建了一道坚实的安全防线,有效地防止了 XSS 攻击,保护了用户在网络浏览过程中的数据安全和隐私。
99 49
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
91 4
|
1月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
71 2
|
1月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
94 3
|
1月前
|
SQL 存储 安全
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
理解并防范XSS、SQL注入和CSRF攻击是Web应用安全的基础。通过采用严格的输入验证、使用安全编码实践以及实现适当的身份验证和授权机制,可以有效防止这些常见的Web攻击,保障应用程序和用户的数据安全。
40 0
|
5月前
|
存储 安全 JavaScript
手摸手带你进行XSS攻击与防御
当谈到网络安全和信息安全时,跨站脚本攻击(XSS)是一个不可忽视的威胁。现在大家使用邮箱进行用户认证比较多,如果黑客利用XSS攻陷了用户的邮箱,拿到了cookie那么就可以冒充你进行收发邮件,那真就太可怕了,通过邮箱验证进行其他各种网站的登录与高危操作。 那么今天,本文将带大家深入了解XSS攻击与对应的防御措施。
|
3月前
|
存储 安全 JavaScript
XSS跨站脚本攻击详解(包括攻击方式和防御方式)
这篇文章详细解释了XSS跨站脚本攻击的概念、原理、特点、类型,并提供了攻击方式和防御方法。
566 1
|
2月前
|
存储 JavaScript 安全
|
2月前
|
存储 JavaScript 前端开发
Xss跨站脚本攻击(Cross Site Script)
Xss跨站脚本攻击(Cross Site Script)
|
5月前
|
SQL 安全 数据库
Python Web开发者必学:SQL注入、XSS、CSRF攻击与防御实战演练!
【7月更文挑战第26天】在 Python Web 开发中, 安全性至关重要。本文聚焦 SQL 注入、XSS 和 CSRF 这三大安全威胁,提供实战防御策略。SQL 注入可通过参数化查询和 ORM 框架来防范;XSS 则需 HTML 转义用户输入与实施 CSP;CSRF 防御依赖 CSRF 令牌和双重提交 Cookie。掌握这些技巧,能有效加固 Web 应用的安全防线。安全是持续的过程,需贯穿开发始终。
98 1
Python Web开发者必学:SQL注入、XSS、CSRF攻击与防御实战演练!