10
XSSのような悪意のある入力をフィルタリングするのに有効な、維持管理されたPythonライブラリがありますか?XSSフィルタリングのためのPythonライブラリ?
A
答えて
0
Strip-o-Gramライブラリはかなりいいですね。私は適切にチェックアウトしていませんが、それはうまくやっているようです(つまり、指定したHTMLタグをホワイトリストに入れることができますし、HTMLエスケープなものは厄介です)。
ここでは、そのページから引用した使用例スニペット、です:
from stripogram import html2text, html2safehtml
mylumpofdodgyhtml # a lump of dodgy html ;-)
# Only allow <b>, <a>, <i>, <br>, and <p> tags
mylumpofcoolcleancollectedhtml = html2safehtml(mylumpofdodgyhtml,valid_tags=("b", "a", "i", "br", "p"))
# Don't process <img> tags, just strip them out. Use an indent of 4 spaces
# and a page that's 80 characters wide.
mylumpoftext = html2text(mylumpofcoolcleancollectedhtml,ignore_tags=("img",),indent_width=4,page_width=80)
希望に役立ちます。
+2
攻撃者が素敵なタグを入れたと信じることはできません。 strip-o-gramが大量にエンコードされたタグで動作しない限り(rsnakeのリスト:http://ha.ckers.org/xss.htmlを参照)、これはうまくいきません。 – Mystic
+0
Miticは言った。 Strip-o-gram(男の子はあなたが孤独な友人を応援するために何かのように聞こえるのですが)のように見えますが、XSSに対する防御としては説明されていません。 –
3
PythonでXSS防御を簡単にコーディングすることができます(例:http://code.activestate.com/recipes/496942/を参照)。
8
WebフレームワークとJinja2のようなテンプレートエンジンを使用している場合、テンプレートエンジンまたはフレームワークにはそれ専用のものが組み込まれている可能性があります。
cgi.escape('malicious code here')
またJinja2のエスケープ提供:それを行いますhtmlタグを削除
from jinja2 import utils
str(utils.escape('malicious code here'))
+0
Python 3.4以降では、stdlibに 'html.escape'があります! –
関連する問題
- 1. Codeigniter 3 - XSSフィルタリング
- 2. クロスサイトスクリプティング(XSS)をフィルタリングするための優れたライブラリがCPANにありますか?
- 3. XSS攻撃の文字列をフィルタリングするために使用できるjavascriptライブラリはありますか?
- 4. 出力のXSSフィルタリングはOKですか?
- 5. 3Dキネマティクスを扱うためのPythonライブラリ
- 6. XSS JSコードファイルに渡されたパラメータのための防止
- 7. Python - 大きなファイルをフィルタリング/ソートするための提案?
- 8. アニメーションマップの視覚化のためのPythonライブラリ
- 9. Pythonのニューラルネットワークのためのライブラリと深い学習
- 10. python 6と2と3の互換性のためのライブラリ
- 11. A PHPのSQLインジェクションを防ぐための機能とXSS
- 12. XSSクロスサイトスクリプティングを扱うためのJboss/ApacheレベルのHTMLエンコーディング
- 13. Apache Commons StringEscapeUtilsとXSS防止のためのJSoup?
- 14. Zendビューの$ this-> escape()はxssのために十分です
- 15. XSSを防ぐためのユーザー入力のサニタイズ
- 16. オプティカルフローの空間微分を計算するためのPythonライブラリ
- 17. Linuxのaudit.logを処理するためのPythonライブラリ?
- 18. ネストされたPythonオブジェクト(dicts)からツリーグラフを作成するためのPythonライブラリ
- 19. ゲームのためのGUIライブラリ
- 20. イメージセグメンテーションのためのC++ライブラリ
- 21. プロファイリングのためのLinuxライブラリ
- 22. のためのUPnPライブラリ
- 23. JSF 2.0;エスケープ= "偽" XSSを防ぐための代替?
- 24. Sqliteでコードワーキングを行うためのPython 3ライブラリ
- 25. クイックブックにアクセスするためのPythonライブラリはありますか?
- 26. ビデオを分割するためのPythonライブラリ
- 27. youtubeからMP3ファイルをダウンロードするためのPythonライブラリ
- 28. kafkaクラスタを管理するためのPythonライブラリ
- 29. LEDフラッシュを検出するためのPythonライブラリ
- 30. ウィキペディアからデータを抽出するためのPythonライブラリ?
まあ何
あなたを助けることができるCGIモジュールで何かがあります。あなたはあなたが保持したいもののための特別な要件を持っていましたか? – SpliFF
私はちょうど上記のコメントが非常に素朴であることを指摘したいと思います。もしあなたがそれを読んだら、また読んでみてください:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheetを開始として。 – mkoistinen