django框架防止XSS注入的方法分析

本文实例讲述了django框架防止xss注入的方法。分享给大家供大家参考，具体如下：

xss 是常见的跨站脚本攻击，而且这种类型的错误很不容易被发现或者被开发人员忽视，当然django 框架本身是有这方面的考虑的，比如在模板中自动开启了 escape, 但事实上，我在改版我的 个人博客 yihaomen.duapp.com 时，在评论框的地方没有用到富文本编辑器，而是让用户自己输入内容，如果某个用户输入了如下类似的东西:

这是我的评论，

而我在模板中是这样使用的 {{comment|safe}}, 由于使用了 safe filter ，所以这里会直接弹出对话框出来。这就是xss 注入了。真实的项目中是不允许出现这样的情况的，用safe 的目的是为了更好的显示html标签等。所以要解决的方式是在后台接收到内容的时候，进行转义处理，特别是 "< > " 这些符号，以及 单引号，双引号等，最初，我自己写了一些替换方法。比如

当然在后台处理掉这些，然后保存到数据库，再次打开的时候，在模板用|safe 过滤器，就会还原成原来的样子，确实没错。但问题是我自己画蛇添足了。因为django 自身有一系列的方法。这些方法在 django.utils.html  package中。我用这几个写一个测试.

当然还有更多的方法，可以查看django的代码。 以上的方法可以看到 django 可以很方便的 eacape 所有html标签，也可以部分 escape html标签，还可以只保留内容等。确实很方便。

由此可见用 django.utils.html 里面的东西，足够应付 xss 注入.

希望本文所述对大家基于django框架的python程序设计有所帮助。

原文链接：http://www.yihaomen.com/article/python/427.htm