kindedit编辑器和xxs攻击防护(BeautifulSoup)的简单使用
一、kindedit编辑器
就是上面这样的编辑输入文本的一个编辑器
这也是一个插件。那么怎么用呢?
1、下载:百度kindedit
2、引入:
<script src="/static/kindeditor/kindeditor-all.js"></script>
3、看官方提供的文档
在addarticle.html中
<script>
{# KindEditor编辑器的使用#}
KindEditor.ready(function (K) {
window.editor = K.create('#id_content', {
{# width:"1030px"#}
width: "90%",
height: "500px",
resizeType: 0,//编辑器不拉伸
uploadJson: "/uploadFile/", //上传图片路径
{# items:['preview', 'print', 'template', 'code', 'cut', 'copy', 'paste', 'plainpaste', 'wordpaste', '|', 'justifyleft', 'justifycenter', 'justifyright', 'justifyfull', 'insertorderedlist', 'insertunorderedlist', 'indent', 'outdent', 'subscript',]#}
//items:你可以筛选你自己想要的
extraFileUploadParams: { #解决forbidden
csrfmiddlewaretoken: $("[name='csrfmiddlewaretoken']").val(),
}
});
});
</script>
当你把编辑器插入好的时候,你看似都可以设置大小,字体变粗等。。但是当你上传图片的时候就会想下面一样
这时候就需要 uploadJson: "/uploadFile/", 这个参数了。
url.py
url(r'^uploadFile/$', views.uploadFile),
views.py
def uploadFile(request):
'''上传图片路径'''
print(request.path) #返回的是当前请求的路径
print(request.FILES) #<MultiValueDict: {'imgFile': [<InMemoryUploadedFile: 44643.gif (image/gif)>]}>
file_obj = request.FILES.get("imgFile") #得到用户上传的文件对象
filename = file_obj.name #那到文件的文件名
path = os.path.join(settings.MEDIA_ROOT,"upload_article_img",filename) #拼接一个路径吧文件保存进去,一般上传文件的路径保存在media中
print("======",path)
with open(path,"wb") as f:#吧文件保存在本地
for line in file_obj: #也可以for i in chunks() 不是一行一行的读,而是有具体的大小64*2**10
f.write(line)
response = {
"error":0,
"url":"/media/upload_article_img/"+filename+"/" #前端图片文件预览
} return HttpResponse(json.dumps(response)) #需要注意的是上传文件返回的是一个json字符串
二、XSS攻击防护:
BeautifulSoup:是python的一个库,查你想要的数据的,但是只是针对标签字符串。主要用于从网页爬取数据
1、首先需要知道的一些基础知识
<html>
<head>
<title>
The Dormouse's story
</title>
</head>
<body>
<p class="title">
<b>
The Dormouse's story
</b>
</p>
<div id="d1" class="d1">
<b>
The Dormouse's story2
</b></div>
<p class="story">
Once upon a time there were three little sisters; and their names were
<a class="sister0" href="http://example.com/elsie" id="link1">
Elsie
</a>
,
<a class="sister1" href="http://example.com/lacie" id="link2">
Lacie
</a>
and
<a class="sister2" href="http://example.com/tillie" id="link3">
Tillie
</a>
;
and they lived at the bottom of a well.
</p>
<script>alert(1234)</script>
<p class="story sister2">
...
</p>
</body>
</html>
"""
# 第一步:实例化对象
from bs4 import BeautifulSoup
soup = BeautifulSoup(html_doc,"html.parser")
# 第二步:美化
print(soup.prettify())
# 第三步:查找标签
print(soup.a) #只能找到符合条件的第一个标签
print(soup.find("a")) #只能找到符合条件的第一个标签
print(soup.find_all("a")) #找到所有的a标签
print(soup.a["class"]) #找到a标签的class属性
print(soup.find_all(name="a"))#找所有标签名是a标签的
print(soup.find_all(attrs={"class":"sister1"}))#找属性是class=sister1的
print(soup.find_all(name="a",attrs={"class":"sister1"}))#找a标签并且属性是class=sister1的 # ===========================
for ele_a in soup.find_all("a"):
print(ele_a.attrs) #找出a标签的所有的属性
print(ele_a["href"]) #找出所有的a标签的href属性
print(ele_a["class"]) #找出所有的a标签的class属性 for ele_a in soup.find_all("a"):
print(ele_a.attrs) #找出a标签的所有属性
del ele_a["class"] #删除a标签的class属性
#
for ele_a in soup.find_all("a"):
print(ele_a) #找出a标签 for ele in soup.find_all():
if ele.attrs:
'''如果有属性'''
if ele.attrs.get("class"):
'''如果得到class属性'''
print(ele.attrs)
del ele["class"]
print(soup) for ele_a in soup.find_all("script"): #soup是整个文档对象,循环整个文档的所有的script标签
print(ele_a.string) #所有a标签的文本
print(ele_a.text) #所有a标签的文本
ele_a.string.replace_with("//别瞎玩") #替换a标签的文本
print(soup)
四个对象:
1、comment对象:注释对象
2、Tag标签对象:相当于html中的一个标签对象
3、BeautifulSoup对象:相当于整个文档对象(Dom对象)
4、Navigablefetry文本对象
下面我们来具体应用一下:xss攻击防护。吧一些不安全的给删除或者替换了
def filter_xss(html_str):
valid_tag_list = ["p", "div", "a", "img", "html", "body", "br", "strong", "b"] #有效标签列表 valid_dict = {"img":["src","alt"],"p": ["id", "class"], "div": ["id", "class"]} #有效属性列表 from bs4 import BeautifulSoup soup = BeautifulSoup(html_str, "html.parser") # soup -----> document ######### 改成dict
for ele in soup.find_all():
# 过滤非法标签
if ele.name not in valid_dict:
ele.decompose()
# 过滤非法属性 else:
attrs = ele.attrs # p {"id":12,"class":"d1","egon":"dog"}
l = []
for k in attrs:
if k not in valid_dict[ele.name]:
l.append(k) for i in l:
del attrs[i] print(soup) return soup.decode()
kindedit编辑器和xxs攻击防护(BeautifulSoup)的简单使用的更多相关文章
- 局域网ARP攻击防护
通过借助一些安全软件来实现局域网ARP检测及防御功能. A.电脑管家 电脑管家--工具箱--下载ARP防火墙模块 不支持window2003 B.服务器安全狗 Windows版下载:http://fr ...
- 什么是高防服务器?如何搭建DDOS流量攻击防护系统
关于高防服务器的使用以及需求,从以往的联众棋牌到目前发展迅猛的手机APP棋牌,越来越多的游戏行业都在使用高防服务器系统,从2018年1月到11月,国内棋牌运营公司发展到了几百家. 棋牌的玩法模式从之前 ...
- Ddos攻击防护
Ddos攻击防护 首先我们说说ddos攻击方式,记住一句话,这是一个世界级的难题并没有解决办法只能缓解 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要 ...
- (转)网站DDOS攻击防护实战老男孩经验心得分享
网站DDOS攻击防护实战老男孩经验心得分享 原文:http://blog.51cto.com/oldboy/845349
- 几十万学费总结出来的Ddos攻击防护经验!
本人从事网络安全行业十余年年.有十年被骗经验.被骗了很多回(都说能防300G,500G,买完就防不住了),本文当然重点给大家说明,ddos攻击是什么,中小企业如何防护,用到成本等. 言归正传 首先我们 ...
- 爬虫基础库之beautifulsoup的简单使用
beautifulsoup的简单使用 简单来说,Beautiful Soup是python的一个库,最主要的功能是从网页抓取数据.官方解释如下: ''' Beautiful Soup提供一些简单的.p ...
- python3 调用 beautifulSoup 进行简单的网页处理
python3 调用 beautifulSoup 进行简单的网页处理 from bs4 import BeautifulSoup file = open('index.html','r',encodi ...
- Nancy启用跨站攻击防护(CSRF)
什么是CSRF(跨站攻击) 可能很多人已经对CSRF有所了解,就简单的介绍下: CSRF全程是 Cross-Site Request Forgery .大概意思就是在登录用户不知情的情况下,由一个网站 ...
- 企业安全之APT攻击防护
现在针对企业APT[1]攻击越来越多了,企业安全也受到了严重的威胁,由于APT攻击比较隐匿的特性[2],攻击并不能被检测到,所以往往可以在企业内部网络潜伏很长时间. APT的攻击方式多种多样,导致企业 ...
随机推荐
- 用Nodejs连接MySQL
转载,原地址:http://blog.fens.me/nodejs-mysql-intro/ 前言 MySQL是一款常用的开源数据库产品,通常也是免费数据库的首选.查了一下NPM列表,发现Nodejs ...
- git详细介绍
Git管理我们的代码会经历三个不过程 1. 工作区:没有提交的代码就是存放的工作区 2. 暂存区:通过 git add 文件名 命令提交代码该文件就放在暂存区 3. 历史区:通过 git commit ...
- 均方根误差(RMSE)与平均绝对误差(MAE)
RMSE Root Mean Square Error,均方根误差 是观测值与真值偏差的平方和与观测次数m比值的平方根. 是用来衡量观测值同真值之间的偏差 MAE Mean Absolute Erro ...
- 同步&异步+阻塞&非阻塞(理解)
0 - 同步&异步 同步和异步关注的是消息通信机制. 0.1 - 同步 由“调用者”主动等待这个“调用”结果.即是,发出一个“调用”时,在没有得到结果之前,该“调用”不返回,一旦调用返回,则得 ...
- pythonのSocket
TCP/IP 三次握手 第一次 A向B 发送 syn 请求 然后B给A返回 syn + ack A收到后,给B返回ack 握手成功. Socket 网络编程 实现通信 要通过IP+Port Socke ...
- 通过SecureCRT连接虚拟机
继续上一篇: http://www.cnblogs.com/CoolJayson/p/7430421.html 上一篇配置了虚拟机网络环境, 实际开发中通常使用SecureCRT或Xshell等连接L ...
- Des加密解密算法java实现
package tech.fullink.eaglehorn.utils; import javax.crypto.Cipher; import javax.crypto.SecretKey; imp ...
- C++ Template 编程,泛型编程练习
#include <iostream> #include <string> #include <deque> #include <stdexcept> ...
- 【ARTS】01_18_左耳听风-20190311~20190317
ARTS: Algrothm: leetcode算法题目 Review: 阅读并且点评一篇英文技术文章 Tip/Techni: 学习一个技术技巧 Share: 分享一篇有观点和思考的技术文章 Algo ...
- Shell-find . -type f -name "*.jpg" -print | xargs tar -czvf images.tar.gz
查找所有的 jpg 文件,并且压缩它们: find . -type f -name "*.jpg" -print | xargs tar -czvf images.tar.gz