0

Django は XSS 攻撃を処理するのに非常に強力であることがわかりました。テンプレート xss_form.html に単純なテキストフィールド フォームを書きました。

<html>
<head><title>XSS Forms</title></head>
<body>
<form action="" method="get"> 
    <input type="text" name="q">
    <input type="submit" value="Submit">
</form>

{% if query %}
    Query: {{query}} <br/>
{% endif %}
</body>
</html>

そしてview.pyで:

def xss1(request):
    if 'q' in request.GET:
        q = request.GET['q'] 
        return render(request, 'xss_form.html', {'query': q})
    return render(request, 'xss_form.html')

では、テキストフィールド ボックスにスクリプトを入力して、ブラウザに警告ボックスを表示させることができることを誰もが知っていますか?

ありがとう!

4

2 に答える 2

0

それでも問題が解決しない場合は、こちらをご覧ください: https://docs.djangoproject.com/en/dev/topics/templates/#automatic-html-escaping
Django は、そうしないように指示しない限り、html コードを自動的にエスケープするはずです。

于 2014-07-28T04:23:44.497 に答える