版權聲明:可以任意轉載,轉載時請標明文章原始出處-xjtushilei和作者信息:石磊
xss漏洞解決
跨站腳本攻擊的原理
XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面裏插入惡意腳本代碼,而程序對於用戶輸入內容未過濾,當用戶瀏覽該頁之時,嵌入其中Web裏面的腳本代碼會被執行,從而達到惡意攻擊用戶的特殊目的。
跨站腳本攻擊的危害:竊取cookie、放蠕蟲、網站釣魚 …
跨站腳本攻擊的分類主要有:存儲型XSS、反射型XSS、DOM型XSS
XSS漏洞是Web應用程序中最常見的漏洞之一。如果您的站點沒有預防XSS漏洞的固定方法,那麼就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因爲,通常難以看到XSS漏洞的威脅,而該病毒則將其發揮得淋漓盡致。
解決方案
由於我們在debug模式中,用戶輸入什麼,就能返回什麼,導致被認定爲xss漏洞!TAT
於是乎,直接在request的參數裏進行了html標籤的去除。本來可更好一點,通過第三方包,但是運維對python容器製作很煩,於是我就用了正則表達式。TAT
SQL注入漏洞
SQL注入攻擊的原理:
使用用戶輸入的參數拼湊SQL查詢語句,使用戶可以控制SQL查詢語句
防禦方法
- 使用預編譯語句,
- 綁定變量
- 使用安全的存儲過程
- 檢查數據類型
- 使用安全函數
建議方法:不要使用拼接的sql,使用佔位符,例如使用JdbcTemplate
解決方案
python的web開發環境真的不好,寫個服務端都不能愉快的玩耍。自己實現了個簡單的sql安全檢測搞定了。