xss又叫css (cross site script) ,跨站指令碼攻擊。它指的是惡意攻擊者往web頁面裡插入惡意指令碼**,而程式對於使用者輸入內容未過濾,當使用者瀏覽該頁之時,嵌入其中web裡面的指令碼**會被執行,從而達到惡意攻擊使用者的特殊目的。
跨站指令碼攻擊的分類主要有:儲存型xss、反射型xss、dom型xss
xss漏洞是web應用程式中最常見的漏洞之一。如果您的站點沒有預防xss漏洞的固定方法,那麼就存在xss漏洞。這個利用xss漏洞的病毒之所以具有重要意義是因為,通常難以看到xss漏洞的威脅,而該病毒則將其發揮得淋漓盡致。
由於我們在debug模式中,使用者輸入什麼,就能返回什麼,導致被認定為xss漏洞!tat
於是乎,直接在request的引數裡進行了html標籤的去除。本來可更好一點,通過第三方包,但是運維對python容器製作很煩,於是我就用了正規表示式。tat
使用使用者輸入的引數拼湊sql查詢語句,使使用者可以控制sql查詢語句
防禦方法
- 使用預編譯語句,
- 繫結變數
- 使用安全的儲存過程
- 檢查資料型別
- 使用安全函式
建議方法:不要使用拼接的sql,使用佔位符,例如使用jdbctemplate
python的web開發環境真的不好,寫個服務端都不能愉快的玩耍。自己實現了個簡單的sql安全檢測搞定了。
用Python解決x的n次方問題
我考慮到了x的所有n次的情況,下面的 有可能是不完美的,但是肯定是對的。def aaa x,n a is程式設計客棧instance x,int,float 這是考慮x和n的型別,需要滿足條件才可以 if a true 往下執行 return none b isinstance n,int,floa...
python 使用flask的理解
相當於python的模擬程式入口,如果執行當前檔案,則該檔案內容會被執行,若該檔案內容被其他檔案引用,則不會執行檔案的內容 相當於python模擬的程式入口,python本身並沒有這麼規定,這只是一種編碼習慣。由於模組之間相互引用,不同模組可能有這樣的定義,而程式入口只有乙個。到底哪個程式入口被選中...
Flask解決跨域問題
問題 網頁上 client 有乙個ajax請求,flask sever是直接返回 jsonify。然後ajax就報錯 no access control allow origin header is present on the requested 原因 ajax跨域訪問是乙個老問題了,解決方法很多...