django对于xss的过滤有其本身自带的safe等

但是如果通过jsonResponse返回再在前端加载,无法对XSS进行有效的过滤。

因此需自己写一个XSS过滤器,作为装饰器对request的GET POST函数的返回值进行过滤。

该过滤函数通过对 json list 字符串等进行过滤、可用于 render 、 HttpResponse、JsonResponse

import json

def jsonXssFilter(data):

    payloads = {

        '\'':''',

        '"':'"',

        '<':'&lt;',

        '>':'&gt;'

    }

    if type(data) == dict:

        new = {}

        for key,values in data.items():

            new[key] = jsonXssFilter(values)

    elif type(data) == list:

        new = []

        for i in data:

            new.append(jsonXssFilter(i))

    elif type(data) == int or type(data) == float:

        new = data

    elif type(data) == str:

        new = data

        for key,value in payloads.items():

            new = new.replace(key,value)

    elif type(data) ==bytes:

        new = data

    else:

        print('>>> unknown type:')

        print(type(data))

        new = data

    return new

def xssfilter(func):

    def wrapper(*args, **kwargs):

        result = func(*args, **kwargs)

        result.content = result.content

        try:

            jsondata = json.loads(result.content)

            result.content = json.dumps(jsonXssFilter(jsondata))

        except:

            result.content = jsonXssFilter(result.content)

        return result

    return wrapper

demo  作为GET POST函数的装饰器:

class PermissionListView(LoginRequiredMixin, generic.TemplateView):

    """权限管理"""

    def dispatch(self, request, *args, **kwargs):

        return super(PermissionListView, self).dispatch(request, *args, **kwargs)

    @xssfilter

    def get(self, request, *args, **kwargs):

        if not user_has_permission(str(request.user),'permission_list'):

            return render(request, "blank.html")

        return render(request, 'user_manage/permission.html', locals())

    @xssfilter

    def post(self, request, *args, **kwargs):

        if request.is_ajax():

            self.post_data = request.POST

            dics = {

                "listPermission":{'op_fun':self.list_permission,'perm':'permission_list'},

                "addPermission":{'op_fun':self.add_permission,'perm':'permission_operate'},

                "delPermission":{'op_fun':self.del_permission,'perm':'permission_operate'}

            }

            operation=self.post_data.get("operation","")

            if not user_has_permission(str(request.user),dics[operation]['perm']):

                response = {'state':'false','message':'权限不够,需%s权限'%(dics[operation]['perm'])}

                return JsonResponse(response)

            data = dics[operation]['op_fun']()

            if not data:

                data = {}

            data['state'] = 'success'

            return JsonResponse(data=data)

    def list_permission(self):

        return {'permissions':search_all_permission()}

    def add_permission(self):

        permission_name = self.post_data['permissionName']

        permission_codename = self.post_data['permissionCodename']

        add_permission(name=permission_name,codename=permission_codename)

    def del_permission(self):

        del_permission(permissionid=self.post_data['permissionid'])

django xss过滤的更多相关文章

  1. python(Django之组合搜索、JSONP、XSS过滤 )

    一.组合搜索 二.jsonp 三.xss过滤 一.组合搜索 首先,我们在做一个门户网站的时候,前端肯定是要进行搜索的,但是如果搜索的类型比较多的话,怎么做才能一目了然的,这样就引出了组合搜索的这个案例 ...

  2. Python开发【Django】:组合搜索、JSONP、XSS过滤

    组合搜索 做博客后台时,需要根据文章的类型做不同的检索 1.简单实现 关联文件: from django.conf.urls import url from . import views urlpat ...

  3. Django XSS攻击

    Django XSS攻击 XSS(cross-site scripting跨域脚本攻击)攻击是最常见的web攻击,其特点是“跨域”和“客户端执行”,XSS攻击分为三种: Reflected XSS(基 ...

  4. xss 过滤

    一. xss过滤 用户通过Form获取展示在终端, 提交数据,Form验证里面加入xss验证(对用户提交的内容验证是否有关键标签) from django.conf.urls import url f ...

  5. KindEditor 和 xss过滤

    KindEditor   1.进入官网 2.下载 官网下载:http://kindeditor.net/down.php 本地下载:http://files.cnblogs.com/files/wup ...

  6. XSS过滤

    XSS过滤封装用法 封装到app01/form.py文件中进行验证 from django.forms import Form,widgets,fields class ArticleForm(For ...

  7. dedecms功能性函数封装(XSS过滤、编码、浏览器XSS hack、字符操作函数)

    dedecms虽然有诸多漏洞,但不可否认确实是一个很不错的内容管理系统(cms),其他也不乏很多功能实用性的函数,以下就部分列举,持续更新,不作过多说明.使用时需部分修改,你懂的 1.XSS过滤. f ...

  8. Asp.net Mvc中利用ValidationAttribute实现xss过滤

    在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能.用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦 ...

  9. XSS过滤JAVA过滤器filter 防止常见SQL注入

    Java项目中XSS过滤器的使用方法. 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩 ...

随机推荐

  1. Confluence 6 从其他备份中恢复数据

    一般来说,Confluence 数据库可以从 Administration Console 或者 Confluence Setup Wizard 中进行恢复. 如果你在恢复压缩的 XML 备份的时候遇 ...

  2. Confluence 6 MySQL 问题解决

    如果 Confluence 提示没有 class 文件,你可能将你的 JDBC 驱动放置到了错误的文件夹. 如果你收到了下面的错误信息,请确认 confluenceuser 用户已经具有了所有需求的数 ...

  3. pod 使用详解

    cd 进去到 项目目录 包含 xcodeproj 结尾的目录下 1 pod init 创建一个pod 文件 2 打开生产的pod 文件 然后 配置pod 文件 并保存  3 pod install 安 ...

  4. Redis事务概念

    redis事务与监控 Author:SimpleWu GitHub-redis 在redis中它的事务与批处理非常相似 Redis中的事务(transaction)是一组命令的集合.事务同命令一样都是 ...

  5. java子类对象和成员变量的隐写&方法重写

    1.子类继承的方法只能操作子类继承和隐藏的成员变量名字类新定义的方法可以操作子类继承和子类新生命的成员变量,但是无法操作子类隐藏的成员变量(需要适用super关键字操作子类隐藏的成员变量.) publ ...

  6. cf478d 线性dp好题

    /* 给定r个红块,g个绿块,按要求堆放 问当堆放成最大高度时,有多少种可能的堆放方式 排列要求:1.第i行放i块 2.每行同色 首先当然要确定能够放置几行 设红块有r个,绿块有g个,那么放置h行需要 ...

  7. Chrome浏览器常用键盘快捷键介绍

    很多人喜欢使用键盘快捷键来操作电脑,因为在熟练的情况下,使用键盘会比使用鼠标点击更快.更高效.本文对Chrome浏览器常用的快捷键做个说明. 标签页和窗口快捷键 1.  Ctrl + n 打开新窗口 ...

  8. EntityFramework Reverse POCO Code First 反向生成器

    https://marketplace.visualstudio.com/items?itemName=SimonHughes.EntityFrameworkReversePOCOGenerator ...

  9. 小甲鱼python基础教程飞机大战源码及素材

    百度了半天小甲鱼python飞机大战的源码和素材,搜出一堆不知道是什么玩意儿的玩意儿. 最终还是自己对着视频一行行代码敲出来. 需要的同学点下面的链接自取. 下载

  10. CentOS6—HAProxy安装与配置

    概述 Haproxy下载地址:http://pkgs.fedoraproject.org/repo/pkgs/haproxy/ 关闭SElinux.配置防火墙 1.vi /etc/selinux/co ...