1.每一个模板中都可以调用的函数 2.为了防止xss攻击,加了验证,页面上显示的是字符串的形式,我们不想让他这样显示,所以有两种方式 方式一:在后端导入Markup 方式二: 在前端加|safe 3.模板继承 和django的一样,extends 4.举例 s1.py templates layou ...
分类:
其他好文 时间:
2018-05-01 12:38:58
阅读次数:
171
xss 跨站脚本攻击(cross site scripting):它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入 ...
分类:
其他好文 时间:
2018-04-30 23:29:48
阅读次数:
255
防XSS攻击 什么是XSS攻击 代码实例: <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>XSS原理重现</title> </head> <body> <form ...
分类:
Web程序 时间:
2018-04-27 23:56:06
阅读次数:
219
XSS 是常见的跨站脚本攻击,而且这种类型的错误很不容易被发现或者被开发人员忽视,当然django 框架本身是有这方面的考虑的,比如在模板中自动开启了 escape, 即html转义。何谓转义?就是把html语言的关键字过滤掉。例如,<div>就是html的关键字,如果要在html页面上呈现<div ...
分类:
其他好文 时间:
2018-04-22 20:09:02
阅读次数:
204
前言: 看完小迪老师的CSRF漏洞讲解。感觉不行 就自己百度学习。这是总结出来的。 歌曲: 正文: CSRF与xss和像,但是两个是完全不一样的东西。 xss攻击(跨站脚本攻击)储存型的XSS由攻击者和受害者一同完成。xss详细介绍:点我跳转 CSRF(跨站脚本伪造)完全由受害者完成。攻击者不参与其 ...
分类:
其他好文 时间:
2018-04-21 21:20:52
阅读次数:
200
方法一: 1.添加XssFilter @Configuration public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletExcep ...
分类:
编程语言 时间:
2018-04-20 14:39:34
阅读次数:
381
CSRF xss攻击:假设我们网站的评论里面允许用户写js的时候,每个人就会看到页面会执行这个js代码,有的是alert,不停的跳出弹框。这个还不算严重的,关键是如果js代码运行的结果不显示在页面上,偷偷的 把cookie发到他自己那去,这样攻击者就可以使用这个cookie登录网站。 CSRF: 1 ...
分类:
其他好文 时间:
2018-04-15 11:42:59
阅读次数:
169
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这 ...
分类:
其他好文 时间:
2018-04-10 10:53:01
阅读次数:
141
一、XSS攻击 XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射的XSS攻击) 2. Stored XSS(基于存储的XSS攻击) 3. DOM-b ...
分类:
其他好文 时间:
2018-04-07 13:54:24
阅读次数:
201
XSS攻击方式:反射型,存储型 存储型:两者差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用提交XSS代码 反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XS ...
分类:
其他好文 时间:
2018-04-06 18:35:18
阅读次数:
234
