此時再次開啟網頁會彈出乙個對話方塊,這是因為alert的js指令碼作用,所以要過濾js指令碼
django預設自帶轉義不會讓js指令碼作用,加了safe後取消了對資料的轉義
-#彈出對話方塊
-#獲取到cookie,開啟網頁會得到使用者的cookie,不安全
csrf:
跨站請求偽造
方法:加隨機的字串
只能防止一大部分人
django的方法:
-fbv
全站使用csrf驗證
-開啟django.middleware.csrf.csrfviewmiddleware
-開啟後在form表單裡新增token
全站使用csrf,但是區域性業務不適用csrf
-開啟django.middleware.csrf.csrfviewmiddleware
-針對區域性業務函式,加上如下裝飾器:
@method_decorator(csrf_protect, name="get")#只能定義乙個
@method_decorator(csrf_protect, name="post")#加兩個寫兩次
class userinfo(views):
def get(self,req):
pass
def post(self,req):
pass
ajax方式提交資料
1.data資料:
第一種方式 通過jquery獲取csrf_token然後用ajax的data傳送
$("#btn").click(function () #csrf的key不能改
})})
第二種方式 在headers裡傳送
$("#btn").click(function () ,
data:#csrf的key不能改
})})
第二種方式更加安全
前端必備知識點之CSRF XSS
csrf cross site request forgery 中文名稱 跨站請求偽造,也被稱為 one click attack session riding,縮寫為 csrf xsrf xss cross site scripting 中文名稱 跨站指令碼攻擊,人們經常將跨站指令碼攻擊 cros...
django 建立安全索引
上篇記錄使用 concurrently 命令列執行不鎖表索引,對於django,如何執行呢?這裡記錄一種方法,修改django遷移檔案。在執行完遷移後,為了方便找到該遷移檔案,可以採用指定命名遷移 1 migrations 0002 add index separate database and s...
Django開發框架多個安全漏洞
影響版本 django 1.2.5 django 1.3 beta 1 django 1.2.4 django 1.2.2 django 1.2 漏洞描述 django是一款開放源 的web應用框架,由python寫成。django存在多個安全漏洞,允許攻擊者獲得敏感資訊,運算元據,進行快取毒藥攻擊...