XSS攻击的防御

XSS攻击的防御

XSS 攻击是什么

XSS 又称 CSS,全称 Cross SiteScript,跨站脚本攻击,是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有 XSS 漏洞的网站中输入(传入)恶意的 HTML 代码,当其它用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie 、破坏页面结构、重定向到其它网站等。

Python 中的防御方法

利用 BeautifulSoup 模块过滤掉存在危险的 HTML 标签。

先利用 BS 模块获得 BS 对象,在 BS 对象中查找非法标签并通过 decompose 函数过滤掉,最后存到数据库的是 BS 对象的字符串化。

from bs4 import BeautifulSoup
def add_article(request):if request.method == "POST":title = request.POST.get("title")content = request.POST.get("article_content")user = request.userbs = BeautifulSoup(content, "html.parser")desc = bs.text[0:150] + '...'# 过滤非法标签for tag in bs.find_all():if tag.name in ["script","link"]:tag.decompose()article_obj = models.Article.objects.create(user=user, title=title, desc=desc)models.ArticleDetail.objects.create(content=str(bs), article=article_obj)return HttpResponse("添加成功!")return render(request, "add_article.html")

701977-20190501094902261-873549745.png

转载于:https://www.cnblogs.com/banshaohuan/p/9803250.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/484927.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【前沿技术】2021年AI将改变制造业的6大应用趋势

来源:智能研究院 如今制造行业流行的是什么?我想,这可少不了“数字转换”、“工业4.0”、“人工智能(AI)”...下面,就让我们一起看看AI如何改变制造业。▍一、用于缺陷检测的深度学习在制造中,生产线中的缺陷检测过程变得越来越…

MarkDown/Html在线转换(支持代码高亮,可复制到微信公众号、今日头条)

MarkDown/Html在线转换能够将md渲染成html并且能保持代码高亮,可以方便的复制待格式的html粘贴到微信公众号,CSDN,简书,博客园,开源中国等。 扫码体验在线助手小程序 我是java代码public static void main(String[] ar…

脑机接口简史——假如这篇推送是你靠意念打开的

来源:脑极体未来智能实验室的主要工作包括:建立AI智能系统智商评测体系,开展世界人工智能智商评测;开展互联网(城市)云脑研究计划,构建互联网(城市)云脑技术和企业图谱&a…

一文读懂深度学习中的各种卷积

来源:海豚数据科学实验室编辑:王萌(深度学习冲鸭公众号)我们都知道卷积的重要性,但你知道深度学习领域的卷积究竟是什么,又有多少种类吗?研究学者 Kunlun Bai 发布了一篇介绍深度学习的卷积文章,用浅显易懂…

为什么信不过AI看病?数据集小、可靠性差,AI医疗任重道远

来源:机器之心近年来,AI 在医疗诊断中的应用受到了越来越多的关注,也出现了一些实际的应用场景,如药物筛选、AI 诊断。但似乎正确的 AI 医疗诊断难以实现,这是哪些原因造成的呢?本文探讨并汇总了人们对 AI …

人工智能学派之间的「联姻」——Yoshua 新作居然用DL「复活」了符号主义

来源:混沌巡洋舰 近日,Yoshua Bengio及其团队利用深度学习,开发出了一套可以揭示丰富视觉环境中的潜在规则的「神经生产系统」,使得现在暂时沉寂的符号人工智能重新恢复了活力。相信大家都知道,目前人工智能的主要学派…

25万亿规模!中国智慧城市建设刚需在哪?

来源:帮尼资讯如果说当下在中国新基建中最火的名词是什么,智慧城市这四个字几乎脱口而出。而在雪亮工程已经基本结束的当下,智慧城市接过了雪亮工程的大旗,成为了对安防企业来说利润最大、保障最稳的政府类项目。前瞻产业研究院预…

浅析Serverless

近两年来,Serverless 概念在开发者中交流的越来越多,主题分享呈现爆发趋势。有人说:Serverless 正在改变未来软件开发的模式和流程,它就是云计算的未来。 在一个应用中包含了多个功能,如订单创建、订单查询和订单修改…

复兴or幻象?VR的2021三重门

来源:脑极体从2020年底开始,无论你日常看一些数码博主的评测,还是喜欢了解科技产业的动态、投融资的报道,都能在媒体中了解到这么一个信号:2021,VR复兴了!当然,这个表述有很多说法&a…

24张GIF图,让你秒懂非标自动化机构的原理

来源:工业机器人1.组合加紧机构↓↓2.凸轮连杆组合输送薄板机构↓↓3.热合联动↓↓4.凸轮双摇杆机构单独运动↓↓5.步进输送机构↓↓6.输出构件作间歇运动↓↓7.输出构件作间歇运动等宽凸轮间歇移动机构↓↓8.双摇杆夹紧机构↓↓9.不自锁推拉式夹紧机构↓↓10.双肘杆…

机器学习的通俗讲解

来源:dataxon译者:Ahong机器学习人人都在谈论,但除了老师们知根知底外,只有很少的人能说清楚怎么回事。如果阅读网上关于机器学习的文章,你很可能会遇到两种情况:充斥各种定理的厚重学术三部曲(我搞定半个定…

边缘计算有哪些关键技术?

来源:智东西、金融界等网站原文链接:https://mp.weixin.qq.com/s/5QAHPMM8SNE3J8fpmDKFaQ如果要问物联网圈最火的概念有哪些?5G与边缘计算一定榜上有名,两者看似风马牛不相及,实则却在冥冥之中自有交集。5G时代&#x…

论文《城市大脑的定义与建设规范探讨》在IEEE(ICBAIE)发表

来源:城市大脑全球标准研究组城市大脑全球标准研究组论文《Discussion on the Definition and Construction Principles of City Brain》,2021年3月在2021 IEEE 2nd International Conference on Big Data, Artificial Intelligence and Internet of Thi…

修改类名后依旧按照原先的类名进行加载

在springMvcMybatis的项目里面 修改了一个类名,之后编译的时候报出了以下的错误 试过 clean也没有作用 黑色涂鸦部分为原先的类名 删掉target文件夹解决了问题 原因是target会保存之前编译好的路径,编译时如果再根据之前的路径去寻找,一定…

谷歌的深度学习在AI芯片中找到了一条关键路径

来源:AI前线 作者:Tiernan Ray译者:Sambodhi策划: 刘燕一年前,ZDNet 与谷歌大脑总监 Jeff Dean谈到 了该公司如何使用人工智能来推进定制芯片的内部开发,从而加快软件开发。Dean 指出,在有些情…

脑机接口猴子通过“意念”打游戏!马斯克:未来能让瘫痪者用意念玩手机

来源:新智元它是Pager,一只9岁的恒河猴,来自Neuralink,最近它刚刚get了新技能——用意念玩乒乓球游戏。6个星期前,Pager的脑袋里被植入了两个叫N1 Link的装置,工作人员用香蕉奶昔诱惑它玩游戏,屏…

struts2_HelloWorld

第一个Struts2程序-Hello 1.创建web工程struts2-01-Hello 2.导入jar包到bin目录,jar地址: https://files.cnblogs.com/files/aihuadung/struts%E6%89%80%E9%9C%80jar%E5%8C%85.zip 3.配置web.xml文件 <?xml version"1.0" encoding"UTF-8"?><!DO…

centos 7 网络设置与图像化界面下载

①打开虚拟机的设置&#xff0c;找到网络设置。再启用网卡1&#xff0c;选择连接方式为Host-only&#xff0c;界面名称选择VirtualBox Host-Only Ethernet Adapter&#xff0c;设置如下图 提示&#xff1a; 1.对虚拟机网络设置&#xff0c;需要先关闭虚拟机&#xff1b; 2.这里…

逻辑的计算进路--从莱布尼茨到图灵的逻辑发展

来源&#xff1a;图灵人工智能【作者单位&#xff1a;北京语言大学信息科学学院中国社会科学院哲学所】摘要&#xff1a;现代逻辑肇始于莱布尼茨&#xff0c;在布尔和弗雷格处发生了分流&#xff0c;形成了所谓的逻辑的代数传统和逻辑的语言传统&#xff0c;然而&#xff0c;无…

c# 窗体启动后自动执行 Form_Load事件注册及调用

很多时候我们需要在程序一开始后立即触发执行一些程序。这时候需要调用Form_Load。 首先编写事件程序块&#xff0c;编写完后即可再里面添加需要执行的代码。 在结构体之后写就行。添加之前的代码如下&#xff1a; using System;using System.Collections.Generic;using Syste…