XSS攻击

XSS（Cross Site Script）攻击又叫做跨站脚本攻击。他的原理是用户在使用具有XSS漏洞的网站的时候，向这个网站提交一些恶意的代码，当用户在访问这个网站的某个页面的时候，这个恶意的代码就会被执行，从而来破坏网页的结构，获取用户的隐私信息等。

XSS攻击场景：

比如A网站有一个发布帖子的入口，如果用户在提交数据的时候，提交了一段js代码比如：<script>alert("hello world");</script>，然后A网站在渲染这个帖子的时候，直接把这个代码渲染了，那么这个代码就会执行，会在浏览器的窗口中弹出一个模态对话框来显示hello world！如果攻击者能成功的运行以上这么一段js代码，那他能做的事情就有很多很多了！

XSS攻击防御：

如果不需要显示一些富文本，那么在渲染用户提交的数据的时候，直接进行转义就可以了。在Django的模板中默认就是转义的。也可以把数据在存储到数据库之前，就转义再存储进去，这样以后在渲染的时候，即使不转义也不会有安全问题，示例代码如下：

fromdjango.template.defaultfiltersimportescapefrom.modelsimportCommentfromdjango.httpimportHttpResponsedefcomment(request):content = request.POST.get("content") escaped_content = escape(content) Comment.objects.create(content=escaped_content)returnHttpResponse('success')

如果对于用户提交上来的数据包含了一些富文本（比如：给字体换色，字体加粗等），那么这时候我们在渲染的时候也要以富文本的形式进行渲染，也即需要使用safe过滤器将其标记为安全的，这样才能显示出富文本样式。但是这样又会存在一个问题，如果用户提交上来的数据存在攻击的代码呢，那将其标记为安全的肯定是有问题的。示例代码如下：

# views.pydefindex(request):message ="<span style='color:red;'>红色字体</span><script>alert('hello world');</script>";returnrender_template(request,'index.html',context={"message":message})

# index.html

那么这时候该怎么办呢？这时候我们可以指定某些标签我们是需要的（比如：span标签），而某些标签我们是不需要的（比如：script）那么我们在服务器处理数据的时候，就可以将这些需要的标签保留下来，把那些不需要的标签进行转义，或者干脆移除掉，这样就可以解决我们的问题了。这个方法是可行的，包括很多线上网站也是这样做的，在Python中，有一个库可以专门用来处理这个事情，那就是sanitizer。接下来讲下这个库的使用。

bleach库：

bleach库是用来清理包含html格式字符串的库。他可以指定哪些标签需要保留，哪些标签是需要过滤掉的。也可以指定标签上哪些属性是可以保留，哪些属性是不需要的。想要使用这个库，可以通过以下命令进行安装：

pip install bleach

这个库最重要的一个方法是bleach.clean方法，bleach.clean示例代码如下：

importbleachfrombleach.sanitizerimportALLOWED_TAGS,ALLOWED_ATTRIBUTES@require_http_methods(['POST'])defmessage(request):# 从客户端中获取提交的数据content = request.POST.get('content')# 在默认的允许标签中添加img标签tags = ALLOWED_TAGS + ['img']# 在默认的允许属性中添加src属性attributes = {**ALLOWED_ATTRIBUTES,'img':['src']}# 对提交的数据进行过滤cleaned_content=bleach.clean(content,tags=tags,attributes=attributes)# 保存到数据库中Message.objects.create(content=cleaned_content)returnredirect(reverse('index'))

XSS攻击

推荐阅读更多精彩内容