1 怎么在jinja模板中原始输出模板语法

  1.1 用双引号引起来后放到 {{ }} 中

    例如  

      {{ "{{}}" }}

    输出

      

  1.2 利用raw

    例如   

{% raw %}

        {% for i in range(11) %}

            <li>{{ i }}</li>

        {% endfor %}

    {% endraw %}

    输出

      

2 模板中遇到带有script标签怎么办

  如果在模板遇到  >、<、&、” 等字符时Jinja2模板会自动进行转义,即利用其它的字符来代替这些模板,例如:利用 &lt; 代替<

    

      

  2.1 Jinja2模板如何判断需要渲染的字符串是否需要转义

    如果渲染的字符串有 __html__ 属性就认为是安全的,不需要进行转义;否则就会自动进行转义

    

    

    注意:也可以利用  {{ to_escape is escaped }} 去判断 to_escape 变量是否拥有 __html__ 属性,如果返回false就没有

      

      

  2.2 如何取消转义

    让需要进行渲染的模板拥有 __html__ 属性就会自动取消转义

    {{待渲染字符串|safe}}  这样写的话待渲染字符串就会拥有 __html__ 属性,从而会取消转义

      

      

  2.3 如何判断转义

    {{待转义字符串 is escaped}} 返回结果为False就表示需要进行转义,为True就表示不需要进行转义

    

    

  2.4 如何自定义是否需要进行转义

    利用 autoescape,设置为false表示不会进行转义,设置为true表示会进行转义

      

      

      

3 XSS攻击

  例如:用户评论的内容是一段 html 代码,如果这段代码不经过转义处理,那么其他用户在加载页面的时候机会执行这段代码

  3.1 模拟一个用户评论模块

    3.1.1 编写评论页面

{% from 'my_macros.html' import form, input, textarea %}

{% autoescape true %}

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>测试XSS</title>

</head>

<body>

    <h4>测试XSS相关知识</h4>

    <hr />

    {% call form('xss.test_xss') %}

        {{ textarea('comment') }}

        {{ input('button', type='submit', value='发表') }}

    {% endcall %}

    <hr />

    {% if comments %}

        <ul>

            {% for comment in comments %}

                <li>{{ comment }}</li>

            {% endfor %}

        </ul>

    {% endif %}

</body>he

</html>

{% endautoescape %}
{% macro url(filename) %}

    {{ url_for('static', filename=filename) }}

{% endmacro %}

{#宏:相当于在模板中定义函数,但是这个函数时使用的模板语法#}

{% macro link_to(endpoint, text) %}

    <a href="{{ url_for(endpoint, **kwargs) }}">{{ text }}</a>

{% endmacro %}

{% macro form(endpoint, method='post') %}

    <form action="{{ url_for(endpoint, **kwargs) }}" method="{{ method }}">

        {{ caller() }} {# caller() 获取 调用者 的 内容 #}

    </form>

{% endmacro %}

{% macro input(name, value='', type='text') %}

    <input type="{{ type }}" value="{{ value }}" name="{{ name }}" />

{% endmacro %}

{% macro textarea(name, value='', rows=10, cols=40) %}

    <textarea name="{{ name }}" rows="{{ rows }}" cols="{{ cols }}">{{ value }}</textarea>

{% endmacro %}

工具

    3.1.2 编写视图函数

    

    3.1.3 将HTML代码作为评论内容

      

      注意:会显示出来,因为flask进行了转义处理

        

        

    3.1.4 如果取消自动转义的效果

      将 autoescape 设置为 false 就可以取消转义啦

        

      

      注意:如果评论内容是HTML代码,那么chrome浏览器会进行拦截

4 本博客源代码

  点击前往

      

5 过滤器

  待更新...

  2017年10月7日23:03:56

Flask09 原始输出、转义、XSS攻击、过滤器???的更多相关文章

  1. .Net Core 项目中添加统一的XSS攻击防御过滤器

    一.前言 最近公司内部在对系统的安全进行培训,刚好目前手里的一个.net core 项目中需要增加预防xss的攻击,本文将大概介绍下何为XSS攻击以及在项目中如何统一的预防XSS攻击. 二.XSS简介 ...

  2. PHP 安全三板斧:过滤、验证和转义之转义篇 & Blade模板引擎避免XSS攻击原理探究

    PHP 转义 实现 把输出渲染成网页或API响应时,一定要转义输出,这也是一种防护措施,能避免渲染恶意代码,造成XSS攻击,还能防止应用的用户无意中执行恶意代码. 我们可以使用前面提到的 htmlen ...

  3. Java Web使用过滤器防止Xss攻击,解决Xss漏洞

    转: Java Web使用过滤器防止Xss攻击,解决Xss漏洞 2018年11月11日 10:41:27 我欲乘风,直上九天 阅读数:2687   版权声明:本文为博主原创文章,转载请注明出处!有时候 ...

  4. addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入

    一.转义或者转换的目的 1. 转义或者转换字符串防止sql注入 2. 转义或者转换字符防止html非过滤引起页面布局变化 3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似 ...

  5. 富文本编辑框和防止xss攻击

    一.后台管理页面构建 1.创建后台管理url urlpatterns = [ ... # 后台管理url re_path("cn_backend/$", views.cn_back ...

  6. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  7. WEB安全实战(五)XSS 攻击的第二种解决方式(推荐)

    序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题.那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下. 旧方案 公司 ...

  8. xss攻击(转)

    什么是 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击.攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行.利用这些恶意脚本,攻击者可获取用 ...

  9. 根据白名单过滤 HTML(防止 XSS 攻击)

    https://github.com/leizongmin/js-xss/blob/master/README.zh.md 根据白名单过滤 HTML(防止 XSS 攻击) xss是一个用于对用户输入的 ...

随机推荐

  1. php......调研投票练习

    调研题目与调研选项显示页面<style type="text/css"> #list{ width:400px; height:200px;} #jieguo{ wid ...

  2. NSAttributedStringKey

    NSFontAttributeName; //字体,value是UIFont对象 NSParagraphStyleAttributeName;//绘图的风格(居中,换行模式,间距等诸多风格),valu ...

  3. while & do-while

    while的形式——while(条件表达式){循环体:} 当满足条件表达式时,执行循环体,之后继续验证是否满足条件表达式,满足继续执行循环体,之后重复,直到不满足条件表达式,循环结束.    先判断, ...

  4. Java强引用、 软引用、 弱引用、虚引用

    Java强引用. 软引用. 弱引用.虚引用 2012-07-09     1.对象的强.软.弱和虚引用    在JDK 1.2以前的版本中,若一个对象不被任何变量引用,那么程序就无法再使用这个对象.也 ...

  5. Java -- 乒乓球 乒乓弹球游戏

    <疯狂Java讲义> 练习游戏 import java.awt.Canvas; import java.awt.Color; import java.awt.Dimension; impo ...

  6. iframe弹出层中关闭包含iframe的div(子页面调用父页面js函数)

    父页面: <div id="win2" style=" width:300px; height:200px; border:1px solid red;" ...

  7. 机器学习(二十三)— L0、L1、L2正则化区别

    1.概念  L0正则化的值是模型参数中非零参数的个数. L1正则化表示各个参数绝对值之和. L2正则化标识各个参数的平方的和的开方值. 2.问题  1)实现参数的稀疏有什么好处吗? 一个好处是可以简化 ...

  8. 2.4 AppDelegate 的 3 个生命周期

    Classed/AppDelegate.cpp 文件内容如下: #include "cocos2d.h" #include "CCEGLView.h" #inc ...

  9. 【leetcode刷题笔记】Best Time to Buy and Sell Stock III

    Say you have an array for which the ith element is the price of a given stock on day i. Design an al ...

  10. 用nginx搭建http/rtmp/hls协议的MP4/FLV流媒体服务器

    前前后后搭建了两三个星期,终于可以告一段落,nginx实在是有点强大.写一篇笔记来记录一下这个过程中的思路和解决方案. 一.搭建nginx平台: 基本是基于http://blog.csdn.net/x ...