Flask 跨站脚本攻击(XSS)

跨站脚本攻击的概念是在一个网站的上下文中注入任意的 HTML (以及附带的
JavaScript )。开发者需要正确地转义文本,使其不能包含任意 HTML 标签来避免
这种攻击。更多的信息请阅读维基百科上关于 Cross-Site Scripting 的文章。

Flask 配置 Jinja2 自动转义所有值,除非显式地指明不转义。这就排除了模板导
致的所有 XSS 问题,但是你仍需要在其它的地方小心:

  • 生成 HTML 而不使用 Jinja2
  • 在用户提交的数据上调用了 Markup
  • 发送上传的 HTML 文件,永远不要这么做,使用
    Content-Disposition: attachment 标头来避免这个问题
  • 发送上传的文本文件。一些浏览器使用基于开头几个字节的 content-type
    猜测,所以用户可能欺骗浏览器执行 HTML

另一件非常重要的事情是未用引号包裹的属性。虽然 Jinja2 可以通过转义 HTML
来保护你免受 XSS 问题,仍有一种情况,它不能保护你: 属性注入的 XSS 。为了
应对这种攻击媒介,确保当在属性中使用 Jinja 表达式时,始终用单引号或双引号
包裹属性:

<a href="{{ href }}">the text</a>

为什么这是必要的?因为如果你不这么做,攻击者可以容易地注入自制的
JavaScript 处理器。譬如一个攻击者可以注入这段 HTML+JavaScript:

onmouseover=alert(document.cookie)

当用户鼠标经过这个链接, 会在警告窗口里把 cookie 显示给用户。一个精明的
攻击者可能也会执行其它的 JavaScript 代码,而不是把 cookie 显示给用户。
同 CSS 注入联系在一起,攻击者甚至使得元素填满整个页面,这样用户鼠标在页面
上的任何地方都会触发攻击。

作者:唐伯虎点蚊香,如若转载,请注明出处:https://www.web176.com/flask2/21616.html

(0)
打赏 支付宝 支付宝 微信 微信
唐伯虎点蚊香的头像唐伯虎点蚊香
上一篇 2023年5月18日
下一篇 2023年5月18日

相关推荐

发表回复

登录后才能评论