使用request.GET和request.META在django python中获取各种值时进行安全检查_Python_Django_Security_Xss

使用request.GET和request.META在django python中获取各种值时进行安全检查

python django security

使用request.GET和request.META在django python中获取各种值时进行安全检查,python,django,security,xss,Python,Django,Security,Xss,在使用request.GET或request.META获取HTTP_REFERER的请求参数时，我可以在django中为额外的安全性实施什么类型的安全检查具体来说，我正在寻找XSS（跨站点脚本）安全检查，因为我的一位同事指出，有些人可以通过某种方式进行XSS攻击示例代码： next = request.GET.get('next','') if next: do something 我已经阅读了django的官方文档，但对于如何保护request.get和META方法没有太多了解。如

在使用request.GET或request.META获取HTTP_REFERER的请求参数时，我可以在django中为额外的安全性实施什么类型的安全检查

具体来说，我正在寻找XSS（跨站点脚本）安全检查，因为我的一位同事指出，有些人可以通过某种方式进行XSS攻击

示例代码：

next = request.GET.get('next','')
if next:
 do something

我已经阅读了django的官方文档，但对于如何保护request.get和META方法没有太多了解。

如果只将代码<>代码<> />代码直接转储到模板中，或者不检查就重定向到它，那只是一个xSS攻击向量。

对于重定向，Django的内置登录表单检查您没有重定向到其他主机-请参阅

对于脚本攻击，Django将始终自动转义任何代码，因此

将转换为

script

。你只需要确保你不会自动删除或者将变量标记为安全。< /P> < P>这是一个XSS攻击向量，如果你直接将该值<代码>下< /COD>直接转入模板或直接重定向到它，不检查。对于重定向，Django的内置登录表单检查您没有重定向到其他主机-请参阅

对于脚本攻击，Django将始终自动转义任何代码，因此

将转换为

script

。您只需确保没有关闭自动转义或将变量标记为安全变量。

首先为什么需要获取？如果您提出任何修改数据帖子的请求，都应该是您的选择，除非您有一个非常特殊的原因…为什么您首先需要获得？如果您提出任何修改数据的请求，请选择发布，除非您有非常特殊的原因。。。