如何解决django 是否有 HTML sanitizer 库来阻止注入攻击?
我试图找到一些东西,当找到任何看起来像 HTML 或 Javascript 的东西时,它会返回异常。我已经想出了如何针对单个视图执行此操作,但这不是一个可扩展的解决方案,最终我需要防止代码被保存到数据库中,无论注入攻击的目标是什么视图。
这是我正在寻找的功能。
ILLEGAL_CHARS = '<>[]{}():;,'.split()
# bunch of code in between
for value in [company_name,url,status,information,lt_type,company_source]:
if any(char in value for char in ILLEGAL_CHARS):
raise Exception(f"You passed one of several illegal characters: {ILLEGAL_CHARS}")
我正在使用 django rest 框架,所以我必须在后端处理它。谢谢。
解决方法
实际上您不需要清理任何用户输入,因为当您在模板中显示它们时,jinja {{object}}
将确保不会执行任何 html 或 java 脚本,直到您将它们标记为安全 {{1 }} 但是如果您不想将它们保存在可能有帮助的数据库中Sanitizing HTML in submitted form data
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。