MongoDB / Django 表单的 XSS 漏洞
我正在使用完全的NoSQL后端(MongoDB)和Django进行开发。我正在构建的应用程序有很多不同的表单,出于各种原因,我想避免使用Django.Forms,因为它们太复杂了,而且似乎不够灵活。
关于XSS(跨站脚本攻击),我需要多担心呢?据我所知,使用MongoDB时不太可能出现SQL注入。
因为我的大部分表单都是通过AJAX提交的……仅仅使用Django的CRSF令牌加上一个开源的清理库(http://bitkickers.blogspot.com/2011/01/sanitize-html-with-beautiful-soup.html)来处理所有传入的数据,够不够呢?
有没有什么好的解决方案可以解决这个问题,而不需要使用Django Forms中的cleaned_data?
2 个回答
0
其实,MongoDB 是容易受到SQL注入和NoSQL注入攻击的!
1
XSS是一种JavaScript漏洞,和SQL注入没有关系。为了防止XSS攻击,你需要对数据进行处理,这个处理和你数据存储的方式无关。
根据描述,使用那个库和一个CSRF令牌应该就足够了。
编辑
虽然使用MongoDB时你不需要担心SQL注入,但如果你换成关系型数据库,你的应用就不再安全了。对XSS注入进行处理并不能保护你免受SQL注入,而你提到的那个库也不会提供这样的保护。