Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/three.js/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Django有效XSS攻击示例_Django_Xss_Cross Site - Fatal编程技术网
Fatal编程技术网
  • django/
  • Django有效XSS攻击示例

Django有效XSS攻击示例

django

Django有效XSS攻击示例,django,xss,cross-site,Django,Xss,Cross Site,我发现Django在处理XSS攻击方面非常强大,我刚刚在模板XSS_form.html上编写了一个简单的文本字段表单: <html> <head><title>XSS Forms</title></head> <body> <form action="" method="get"> <input type="text" name="q"> <input type="submit

我发现Django在处理XSS攻击方面非常强大,我刚刚在模板XSS_form.html上编写了一个简单的文本字段表单:

<html>
<head><title>XSS Forms</title></head>
<body>
<form action="" method="get"> 
    <input type="text" name="q">
    <input type="submit" value="Submit">
</form>

{% if query %}
    Query: {{query}} <br/>
{% endif %}
</body>
</html>
那么每个人都知道在文本框中输入一些脚本,可以让浏览器弹出一个警告框吗

谢谢

如果您仍然有问题,请查看:
Django应该自动转义html代码,除非您告诉不要这样做。

您可以使用以下GET请求:

某些警报(“这不安全”)

您只需从以下位置修改xss_form.html:
查询:{{Query}-->查询:{{Query | safe}}
它应该看起来

<html>
<head><title>XSS Forms</title></head>
<body>
<form action="" method="get"> 
    <input type="text" name="q">
    <input type="submit" value="Submit">
</form>

{% if query %}
    Query: {{query|safe}} <br/>
{% endif %}
</body>
</html>


XSS表格
{%if查询%}
查询:{{Query | safe}}

{%endif%}

<html>
<head><title>XSS Forms</title></head>
<body>
<form action="" method="get"> 
    <input type="text" name="q">
    <input type="submit" value="Submit">
</form>

{% if query %}
    Query: {{query|safe}} <br/>
{% endif %}
</body>
</html>