Джанго действует XSS нападение пример

Я нашел Django довольно мощный для обработки XSS атак, я просто написал простую форму TextField, по шаблону, xss_form.html:Джанго действует XSS нападение пример

<html> 
<head><title>XSS Forms</title></head> 
<body> 
<form action="" method="get"> 
    <input type="text" name="q"> 
    <input type="submit" value="Submit"> 
</form> 

{% if query %} 
    Query: {{query}} <br/> 
{% endif %} 
</body> 
</html>

И в view.py:

def xss1(request): 
    if 'q' in request.GET: 
     q = request.GET['q'] 
     return render(request, 'xss_form.html', {'query': q}) 
    return render(request, 'xss_form.html')

Значит, все знают, какие скрипты вводятся в поле текстового поля, может ли браузер выскочить из окна предупреждения?

Спасибо!

источник

2013-11-17 Jun

если вы все еще есть проблемы, посмотрите: https://docs.djangoproject.com/en/dev/topics/templates/#automatic-html-escaping
Django должен автоматически избежать HTML-код, если не сказать, чтобы не делать это.

источник

2014-07-28 04:23:44

Вы можете использовать следующий запрос GET:

Something <script>alert("This is not secure")</script>

Вам просто нужно изменить xss_form.html от:
запроса: {{запроса}} ----> Query: {{запросов | безопасно}}
Должно быть

<html> 
<head><title>XSS Forms</title></head> 
<body> 
<form action="" method="get"> 
    <input type="text" name="q"> 
    <input type="submit" value="Submit"> 
</form> 

{% if query %} 
    Query: {{query|safe}} <br/> 
{% endif %} 
</body> 
</html>

источник

2017-03-25 15:15:47 laky55555

Джанго действует XSS нападение пример

ответ

Смежные вопросы