我正在运行一个100%NoSQL后端(MongoDB)并使用Django进行开发。我正在构建的应用程序有很多不同的形式,出于各种原因,我尽量避免使用Django表格因为它们很复杂,而且似乎不是很灵活。在
我需要多担心XSS(据我所知,当您使用MongoDB时,不可能获得SQL注入)
因为我的大多数表单都是通过AJAX提交的……仅仅使用Django CRSF令牌+一个开源的清理库就足够了吗(http://bitkickers.blogspot.com/2011/01/sanitize-html-with-beautiful-soup.html)所有传入的数据?在
对于这个问题,最好的解决方案是什么,它不涉及在Django表单中使用cleaned_数据?在
XSS是一个Javascript漏洞,它与SQL注入无关。为了防止XSS,您需要做同样的敏感化,而不管您的数据是如何存储的。在
根据它的描述,使用该库和CSRF令牌就足够了。在
编辑
而您不需要担心MongoDB的SQL注入。如果切换到关系数据库,应用程序将不再安全。针对XSS注入的净化没有针对SQL注入提供保护,而您提到的库不会提供这种保护。在
实际上,MongoDB很容易受到SQL注入和NoSQL注入的攻击!在
http://leapar.lofter.com/post/122a03_3028b0
相关问题 更多 >
编程相关推荐