XSS即跨站腳本攻擊,XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web使用者将代碼植入到提供給其它使用者使用的頁面中。 xss攻擊允許使用者注入用戶端腳本到其他使用者的伺服器上。通常通過存儲惡意腳本到資料庫,其他使用者通過資料庫擷取惡意腳本,并在浏覽器上呈現;或是使使用者點選會引起攻擊者javascirpt腳本在使用者用戶端的連接配接來達到目的。但是xss攻擊可能發生在任意不可信的資料源頭,例如cookie和web service。無論何時,隻要資料在頁面内沒有充分地消毒(sanitized),就可能發生xss攻擊。
1、對單一變量進行轉義過濾。可以使用escape過濾器,無需轉義時使用safe過濾器
PS: 把使用者輸入的資料以安全的形式顯示,那隻能是在頁面上顯示字元串。
django架構中給資料标記安全方式顯示(但這種操作是不安全的!):
- 模版頁面上對拿到的資料後寫上safe. ----> {{XXXX|safe}}
- 在背景導入子產品:from django.utils.safestring import mark_safe
把要傳給頁面的字元串做安全處理 ----> s = mark_safe(s)
本文轉自 kesungang 51CTO部落格,原文連結:http://blog.51cto.com/sgk2011/2069048,如需轉載請自行聯系原作者
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)