跨站脚本攻击的概念是在一个网站的上下文中注入任意的 HTML (以及附带的
JavaScript )。开发者需要正确地转义文本,使其不能包含任意 HTML 标签来避免
这种攻击。更多的信息请阅读维基百科上关于 Cross-Site Scripting 的文章。
Flask 配置 Jinja2 自动转义所有值,除非显式地指明不转义。这就排除了模板导
致的所有 XSS 问题,但是你仍需要在其它的地方小心:
- 生成 HTML 而不使用 Jinja2
- 在用户提交的数据上调用了 Markup
- 发送上传的 HTML 文件,永远不要这么做,使用
Content-Disposition: attachment 标头来避免这个问题 - 发送上传的文本文件。一些浏览器使用基于开头几个字节的 content-type
猜测,所以用户可能欺骗浏览器执行 HTML
另一件非常重要的事情是未用引号包裹的属性。虽然 Jinja2 可以通过转义 HTML
来保护你免受 XSS 问题,仍有一种情况,它不能保护你: 属性注入的 XSS 。为了
应对这种攻击媒介,确保当在属性中使用 Jinja 表达式时,始终用单引号或双引号
包裹属性:
<a href="{{ href }}">the text</a>
为什么这是必要的?因为如果你不这么做,攻击者可以容易地注入自制的
JavaScript 处理器。譬如一个攻击者可以注入这段 HTML+JavaScript:
onmouseover=alert(document.cookie)
当用户鼠标经过这个链接, 会在警告窗口里把 cookie 显示给用户。一个精明的
攻击者可能也会执行其它的 JavaScript 代码,而不是把 cookie 显示给用户。
同 CSS 注入联系在一起,攻击者甚至使得元素填满整个页面,这样用户鼠标在页面
上的任何地方都会触发攻击。
作者:唐伯虎点蚊香,如若转载,请注明出处:https://www.web176.com/flask2/21616.html