Some webapplications with a database are administrated with tools like phmyadmin (which some folks forget to remove or protect). With this scenario a hacker could manipulate data inside the database without touching the application itself. Would this worst case and its damage reduced by escaping everything (see 1.)
试试这个:
您可能希望使用
autoescape
扩展名启用自动筛选。来自the docs:这会带来一些性能开销,但经验告诉我们,非常很容易忘记逃避一个变量,这给了我们一个XSS(甚至像eBay这样的大型网站也成为了受害者)。在
这也回答了你的问题,“应该逃出什么?”。在更大的应用程序中,通常不容易确定哪些变量可以直接(或间接!)受用户影响。此外,转义不仅仅是一种安全特性,因为固定字符串如
This is a <test> & a string
也需要对<
和&
进行转义。在您仍然可以使用
safe
过滤器打印HTML,即my_string|safe
。在编辑:回答您的问题:
如果我的用户名是
<script>alert('boo!')</script>
怎么办?或者是&fancy&
?我想你可以通过在注册过程中禁止使用某些字符来解决这个问题,但是你确定没有办法绕过这个问题吗?如果我在我的用户名中填写\x26
怎么办?或者,如果你能用其他方法绕过支票呢?如果(将来)你想允许这样的字符,或者将来你连接到一个允许这些字符的外部登录服务(facebook、google、github)怎么办?在是的,有一个(小)性能开销,但它更安全,更容易编程。像Python&Jinja这样的环境的要点是以牺牲性能为代价优化程序员的生产力:)
是的。这显然是一场灾难。但是,如果攻击者获得了对您数据库的完全访问权限,那么他/她可能不需要为XSS攻击操心,因为所有数据都已经在他/她的指尖。
然而,有一种不那么恶意的方法会出错,例如,管理员手动创建(或编辑)一个带有需要转义字符的用户。在
相关问题 更多 >
编程相关推荐