xss攻击问题以及如何防范

于 2018-10-16 21:51:00 发布
阅读量587 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aaronthon/article/details/83113997
本文介绍了一种通过使用BeautifulSoup解析并过滤评论内容中潜在的恶意脚本,如script标签,来防止XSS攻击的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当用户提交评论的时候,比如如下评论内容

111 <scripy>alert(111);</scripy>

这样当现实评论的时候会先弹出111弹框,再显示评论。这就是xss攻击。

所以,我们需要对评论内容进行检测,对恶意代码进行删除,不让不存到数据库。

如下解决方案:

def add_article(request):

    if request.method=="POST":
        title=request.POST.get('title')
        article_content=request.POST.get('article_content')  # 获取评论内容
        user=request.user
        # 使用BeautifulSoup模块
        from bs4 import BeautifulSoup
        # 
        bs=BeautifulSoup(article_content,"html.parser")
        desc=bs.text[0:150]+"..."

        # 过滤非法标签,会寻找到这个页面的所有标签
        for tag in bs.find_all():
            
            print(tag.name)
            # 如果有非法标签
            if tag.name in ["script", "link"]:
                # 使用decompose()删除非法标签
                tag.decompose()

        article_obj=models.Article.objects.create(user=user,title=title,desc=desc)
        models.ArticleDetail.objects.create(content=str(bs),article=article_obj)

        return HttpResponse("添加成功")

 

aaronthon
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值