代码之家  ›  专栏  ›  技术社区  ›  Kristoffer

XSS保护jsonify输出的最佳方法

flask python
  •  -1
  • Kristoffer  · 技术社区  · 6 年前

    通过以下哪种方式来防止XSS攻击 jsonify() 在蟒蛇瓶里? 

    testvar = {0: {'Name': 'df',
  'test1': 'sdf',
  'test2': 'sdf'},
 1: {'Name': 'dfdf',
  'test1': 'sdf',
  'test2': 'dfdf'},
 2: {'Name': 'dfdf',
  'test1': 'dfdfd',
  'test2': 'dfdfd<script>alert("test");</script>'}}

@app.route("/test")
def test():
    return jsonify(testvar)

    这是Javascript: 

    output_body = ""
$.getJSON('/test',function(data){
    $.each(data, function(key,val){
        output_body += "<tr>"
            for(property in val) {
                output_body += "<td>" + val[property] + "</td>"
            }
            output_body += "</tr>"
     });
$('table').html(output_body);
});

    此代码执行一个js警报框。

    当然,我可以通过转义<和>。但是在上面的例子中,有没有一个好的方法来防止XSS攻击呢?

    1 回复  |  直到 6 年前
        1
  •  1
  •   Tohmaxxx    6 年前

    你可以用漂白剂 https://bleach.readthedocs.io/en/latest/clean.html

    或者您可以使用更好的javascript前端(例如react)来显示输出(现代js框架默认不使用这种类型的东西)

    推荐文章
    Kevin Müller  ·  使用javascript更改字节保存二进制数据
    2 年前
    NextNightFlyer  ·  如何将参数传递给Python应用程序的Get请求?
    2 年前
    Tushar Nautiyal  ·  我们需要在Flask应用程序中进行功能缩放吗
    2 年前
    Santhosh S  ·  在flask中使用会话
    2 年前
    sK500  ·  从flask传递到JS的值是html格式的,而不是静态的
    2 年前
    Callum  ·  在HTML(Python应用程序)中使用变量时,在{name}周围放置不必要的括号
    2 年前
    Nadav Holtzman  ·  如何使用javascript更改HTML中的Flask WTForm字段值?
    2 年前
    Degun  ·  图表Js:如何根据第三个数据更改点的颜色
    2 年前
    Jae_JPN  ·  HTML不会将参数传递给缺少1个必需的位置参数的烧瓶
    2 年前
    Shwetha K  ·  Docker错误:MySQLdb_例外。操作错误:(2002,“无法通过套接字'/var/run/mysqld/mysqld.sock'(2)连接到本地MySQL服务器”)
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号