2. 程式人生 > >Python Django開發中XSS內容過濾問題的解決

Python Django開發中XSS內容過濾問題的解決

阿新 發佈:2017-07-02
text .com trunk ecs mixed res on() body not

from:http://stackoverflow.com/questions/699468/python-html-sanitizer-scrubber-filter

通過下面這個代碼就可以把內容過濾成幹凈的HTML內容,說明,這個代碼來自上面Stackoverflow的回答

Use lxml.html.clean! It‘s VERY easy!

from lxml.html.clean import clean_html
print clean_html(html)
<html>
 <head>
   <script type="text/javascript"
 
 src="evil-site"></script>
   <link rel="alternate" type="text/rss" src="evil-rss">
   <style>
     body {background-image: url(javascript:do_evil)};
     div {color: expression(evil)};
   </style>
 </head>
 <body onload="evil_function()">
    <!-- I am interpreted for EVIL! 
 
-->
   <a href="javascript:evil_function()">a link</a>
   <a href="#" onclick="evil_function()">another link</a>
   <p onclick="evil_function()">a paragraph</p>
   <div style="display: none">secret EVIL!</div>
   <object> of EVIL! </object>
 

   <iframe src="evil-site"></iframe>
   <form action="evil-site">
     Password: <input type="password" name="password">
   </form>
   <blink>annoying EVIL!</blink>
   <a href="evil-site">spam spam SPAM!</a>
   <image src="evil!">
 </body>
</html>

結果是:

<html>
  <body>
    <div>
      <style>/* deleted */</style>
      <a href="">a link</a>
      <a href="#">another link</a>
      <p>a paragraph</p>
      <div>secret EVIL!</div>
      of EVIL!
      Password:
      annoying EVIL!
      <a href="evil-site">spam spam SPAM!</a>
      <img src="evil!">
    </div>
  </body>
</html>

You can customize the elements you want to clean and whatnot.

關於Web開發中的安全過濾問題,摘引一下OWASP的ESAPI( http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/index.html )的過濾方法接口列表,以供大家有所參考:

Java.lang.String canonicalize(java.lang.String input)
This method is equivalent to calling
java.lang.String canonicalize(java.lang.String input, boolean strict)
This method is the equivalent to calling
java.lang.String canonicalize(java.lang.String input, boolean restrictMultiple, boolean restrictMixed)
Canonicalization is simply the operation of reducing a possibly encoded string down to its simplest form.
java.lang.String decodeForHTML(java.lang.String input)
Decodes HTML entities.
byte[] decodeFromBase64(java.lang.String input)
Decode data encoded with BASE-64 encoding.
java.lang.String decodeFromURL(java.lang.String input)
Decode from URL.
java.lang.String encodeForBase64(byte[] input, boolean wrap)
Encode for Base64.
java.lang.String encodeForCSS(java.lang.String input)
Encode data for use in Cascading Style Sheets (CSS) content.
java.lang.String encodeForDN(java.lang.String input)
Encode data for use in an LDAP distinguished name.
java.lang.String encodeForHTML(java.lang.String input)
Encode data for use in HTML using HTML entity encoding
java.lang.String encodeForHTMLAttribute(java.lang.String input)
Encode data for use in HTML attributes.
java.lang.String encodeForJavaScript(java.lang.String input)
Encode data for insertion inside a data value or function argument in JavaScript.
java.lang.String encodeForLDAP(java.lang.String input)
Encode data for use in LDAP queries.
java.lang.String encodeForOS(Codec codec, java.lang.String input)
Encode for an operating system command shell according to the selected codec (appropriate codecs include the WindowsCodec and UnixCodec).
java.lang.String encodeForSQL(Codec codec, java.lang.String input)
Encode input for use in a SQL query, according to the selected codec (appropriate codecs include the MySQLCodec and OracleCodec).
java.lang.String encodeForURL(java.lang.String input)
Encode for use in a URL.
java.lang.String encodeForVBScript(java.lang.String input)
Encode data for insertion inside a data value in a Visual Basic script.
java.lang.String encodeForXML(java.lang.String input)
Encode data for use in an XML element.
java.lang.String encodeForXMLAttribute(java.lang.String input)
Encode data for use in an XML attribute.
java.lang.String encodeForXPath(java.lang.String input)
Encode data for use in an XPath query.

Python Django開發中XSS內容過濾問題的解決

相關推薦

Python Django開發XSS內容過濾問題的解決

text .com trunk ecs mixed res on() body not from:http://stackoverflow.com/questions/699468/python-html-sanitizer-scrubber-filter 通過下面這個代

django 開發接入第三方模組雲通訊時, 程式報錯 顯示{'172001':'網路錯誤'} 的解決辦法

在測試中, 發現在傳送簡訊驗證碼的時候,一直報錯{'172001':'網路錯誤'},網上翻閱資料,原因大概是python在開啟一個 https 連結時,會驗證一次 SSL 證書。而當目標網站使用的是自簽名的證書時就會丟擲此異常。 解決辦法就是 在sms.py中,新增下列程式

第三篇:開發的問題及解決方式

.text cat 彈窗 ret 如何 配置 中項 新的 顯示 1.texarea 如何保存空格、換行? 答:var content1= $("#content").val(); var content =content1.replace(/\n|\r\n/g,"&

團隊開發Git沖突解決

comm 方法 add str 協作開發 比較 團隊開發 ron 寫入 正常來說我們團隊協作開發過程中,沖突是常有的事,下面介紹下本人在開發中的解決辦法。 沖突的主要原因就是由於我們開發人員在分支的同一位置寫入了不一樣的代碼,然後合並到主幹上導致我們沖突。 方法: 當沖突發

項目開發遇到的Bug解決經驗總結

頭文件 net div pan line blog PE 導致 AR 今天在項目開發中遇到了兩個很難解決的bug,我把我的思路記錄下來,以供之後遇到bug時,提供一些思路:   編譯通過,但總結"core dumped"   這個是寫一個數據包捕捉函數的時候,程序編譯通

python web開發的文件上傳與下載

iterator makedirs pat type med code 獲取 保存 media django 框架下 實現服務端的文件上傳與下載: import jsonimport osimport uuiddef attachment_upload(request

基於Python Django開發的一個mock

csr att project dump 方便 配置 man ali uid 最近研究了一下python的django框架, 發現這個框架不比Java spring boot差, mock同樣一個接口, 代碼量少很多, 維護起來也很方便, 廢話不多說,直接上代碼 1. 安裝

Python Web開發,WSGI協議的作用和實現原理詳解

首先理解下面三個概念: WSGI:全稱是Web Server Gateway Interface,WSGI不是伺服器,python模組,框架,API或者任何軟體,只是一種規範,描述web server如何與web application通訊的規範。 uwsgi:與WSGI一樣是一種協議,是uWSGI伺服器

8u111-jdk-alpine在java開發的NullPointerException錯誤解決方案

問題描述 在部署一個驗證碼服務的容器服務時遇到了一個空指標錯誤,錯誤程式碼為: java.lang.NullPointerException at sun.awt.FontConfiguration.getVersion(FontConfiguration.jav

Centos7安裝Python+Django開發環境 2

CentOS7安裝MySQL   在CentOS中預設安裝有MariaDB,這個是MySQL的分支,但為了需要,還是要在系統中安裝MySQL,而且安裝完成之後可以直接覆蓋掉MariaDB。 1 下載並安裝MySQL官方的 Yum Repository [[email 

Python--Django開發速成(3)

        本文主要講解在的Python--Django開發速成(2)基礎上新增部落格文章修改功能,主要思路如下: (1)每個部落格都是有id的,id是由資料庫自動生成的,而id有一個特點,就是沒有0值。 (2)若要修改已有的文章,那麼可以讀取其id,從而後取其他內容

python&django開發與生產環境部署總結

  Django webapp開發與生產環境部署 概要 Ø  安裝Python虛擬機器;版本2.7.8 Ø  安裝開發包 Ø  建立Django專案 Ø  建立Djangowebapp Ø  資料庫模型設計 Ø  url規則設計 Ø  編寫檢視函式 Ø  前端: ²  Bo

微信測試號,微信公眾號開發token驗證的解決辦法,即介面配置資訊的url和token怎麼設定的方法

首先我們來看兩張圖,第一張是微信公眾號中設定的圖 第二張是測試號中的圖片,之所以打馬賽克是怕不良之心的人,如果有疑問可以在文章後留言,因為本人在這個問題上搗鼓了好幾天,所以比較有心得,而微信公眾號的開發文件或者百度的資料都不多,所以很容易走彎路 現在講講介面配

Python——Django-settings.py的內容

一、HTML路徑設定 #所有和HTML路徑相關的設定都在這裡 TEMPLATES = [ { 'BACKEND': 'django.template.backends.django.DjangoTemplates', 'DIRS': [os.path.join(

Java開發遇到異常的解決辦法

異常:Bean named ‘org.springframework.transaction.interceptor.TransactionInterceptor#0’ is expected to be of type ‘org.aopalliance.aop.Advice’ but w

Python+Django開發遊戲充值管理後臺

一、需求分析 充值管理後臺的使用者從高到低分為三個等級,管理員,總代理和普通代理; 高階使用者能夠管理低階使用者,也能夠為低階使用者充值,低階使用者能夠向高階使用者退還充值;

Android開發常見問題及解決方案

1、介面對接中的關鍵字解析 在日常介面對接中,經常會出現介面返回的資料節點是java中的關鍵字(類似介面返回 extends 節點),會導致解析異常。針對這種情況有以下的解決方案:1、fastjson 解析的情況下可以使用以下註解如:public class DataBean

lucene3.1.0+luke3.5.0開發遇到的問題解決辦法

import java.io.File; import java.io.IOException; import org.apache.lucene.analysis.Analyzer; import org.apache.lucene.document.Document; import org.apache.

pycharm環境下用Python+Django開發web搭建

1.安裝pycharm; 2.安裝Python; 3.安裝mysql; 4.安裝Django; pip3 install django 5.建立Django工程命令方式: # 建立Django程式 django-admin startproject mysiteDjango工程目錄:   mysit

關於軟體開發遇到的問題解決思路

開發過程中,難免會遇到各種問題,但是針對問題解決思路有很多,這裡記錄下,目前使用的方法,以便後續遇到問題不會在慌忙中處理。 1、【日誌檔案】檢視軟體記錄的日誌檔案,針對日誌和程式碼結合進行分析,如果針對關鍵邏輯,沒有日誌記錄的習慣,那你就GG了,因為有些問題不是必現的,或者