django 安全 csrf xss攻擊

2021-09-02 18:14:24 字數 1297 閱讀 7333

此時再次開啟網頁會彈出乙個對話方塊,這是因為alert的js指令碼作用,所以要過濾js指令碼

django預設自帶轉義不會讓js指令碼作用,加了safe後取消了對資料的轉義

-#彈出對話方塊

-#獲取到cookie,開啟網頁會得到使用者的cookie,不安全

csrf:

跨站請求偽造

方法:加隨機的字串

只能防止一大部分人

django的方法:

-fbv

全站使用csrf驗證

-開啟django.middleware.csrf.csrfviewmiddleware

-開啟後在form表單裡新增token

全站使用csrf,但是區域性業務不適用csrf

-開啟django.middleware.csrf.csrfviewmiddleware

-針對區域性業務函式,加上如下裝飾器:

@method_decorator(csrf_protect, name="get")#只能定義乙個

@method_decorator(csrf_protect, name="post")#加兩個寫兩次

class userinfo(views):

def get(self,req):

pass

def post(self,req):

pass

ajax方式提交資料

1.data資料:

第一種方式 通過jquery獲取csrf_token然後用ajax的data傳送

$("#btn").click(function () #csrf的key不能改

})})

第二種方式 在headers裡傳送

$("#btn").click(function () ,

data:#csrf的key不能改

})})

第二種方式更加安全

前端必備知識點之CSRF XSS

csrf cross site request forgery 中文名稱 跨站請求偽造,也被稱為 one click attack session riding,縮寫為 csrf xsrf xss cross site scripting 中文名稱 跨站指令碼攻擊,人們經常將跨站指令碼攻擊 cros...

django 建立安全索引

上篇記錄使用 concurrently 命令列執行不鎖表索引,對於django,如何執行呢?這裡記錄一種方法,修改django遷移檔案。在執行完遷移後,為了方便找到該遷移檔案,可以採用指定命名遷移 1 migrations 0002 add index separate database and s...

Django開發框架多個安全漏洞

影響版本 django 1.2.5 django 1.3 beta 1 django 1.2.4 django 1.2.2 django 1.2 漏洞描述 django是一款開放源 的web應用框架,由python寫成。django存在多個安全漏洞,允許攻擊者獲得敏感資訊,運算元據,進行快取毒藥攻擊...