kindedit編輯器和xxs攻擊防護(BeautifulSoup)的簡單使用

来源:http://www.cnblogs.com/haiyan123/archive/2017/12/02/7955232.html
-Advertisement-
Play Games

一、kindedit編輯器 就是上面這樣的編輯輸入文本的一個編輯器 這也是一個插件。那麼怎麼用呢? 1、下載:百度kindedit 2、引入: 3、看官方提供的文檔 在addarticle.html中 當你把編輯器插入好的時候,你看似都可以設置大小,字體變粗等。。但是當你上傳圖片的時候就會想下麵一樣 ...


一、kindedit編輯器

就是上面這樣的編輯輸入文本的一個編輯器

這也是一個插件。那麼怎麼用呢?

1、下載:百度kindedit

2、引入:

    <script src="/static/kindeditor/kindeditor-all.js"></script>

 

3、看官方提供的文檔

在addarticle.html中

    <script>
        {#        KindEditor編輯器的使用#}
        KindEditor.ready(function (K) {
            window.editor = K.create('#id_content', {
                {#                    width:"1030px"#}
                width: "90%",
                height: "500px",
                resizeType: 0,//編輯器不拉伸
                uploadJson: "/uploadFile/",  //上傳圖片路徑
                {#                    items:['preview', 'print', 'template', 'code', 'cut', 'copy', 'paste', 'plainpaste', 'wordpaste', '|', 'justifyleft', 'justifycenter', 'justifyright', 'justifyfull', 'insertorderedlist', 'insertunorderedlist', 'indent', 'outdent', 'subscript',]#}
                //items:你可以篩選你自己想要的
                extraFileUploadParams: {     #解決forbidden
                    csrfmiddlewaretoken: $("[name='csrfmiddlewaretoken']").val(),
                }
            });
        });
    </script>

 

當你把編輯器插入好的時候,你看似都可以設置大小,字體變粗等。。但是當你上傳圖片的時候就會想下麵一樣

這時候就需要 uploadJson: "/uploadFile/",  這個參數了。

url.py

 url(r'^uploadFile/$', views.uploadFile),

 

views.py

def uploadFile(request):
    '''上傳圖片路徑'''
    print(request.path)  #返回的是當前請求的路徑
    print(request.FILES)  #<MultiValueDict: {'imgFile': [<InMemoryUploadedFile: 44643.gif (image/gif)>]}>
    file_obj = request.FILES.get("imgFile")  #得到用戶上傳的文件對象
    filename = file_obj.name  #那到文件的文件名
    path = os.path.join(settings.MEDIA_ROOT,"upload_article_img",filename) #拼接一個路徑吧文件保存進去,一般上傳文件的路徑保存在media中
    print("======",path)
    with open(path,"wb") as f:#吧文件保存在本地      
        for line in file_obj:     #也可以for i in chunks()   不是一行一行的讀,而是有具體的大小64*2**10
            f.write(line)
   response
= { "error":0, "url":"/media/upload_article_img/"+filename+"/" #前端圖片文件預覽 } return HttpResponse(json.dumps(response)) #需要註意的是上傳文件返回的是一個json字元串

 

二、XSS攻擊防護:

BeautifulSoup:是python的一個庫,查你想要的數據的,但是只是針對標簽字元串。主要用於從網頁爬取數據 

1、首先需要知道的一些基礎知識

<html>
 <head>
  <title>
   The Dormouse's story
  </title>
 </head>
 <body>
  <p class="title">
   <b>
    The Dormouse's story
   </b>
  </p>
  <div id="d1" class="d1">
    <b>
    The Dormouse's story2
    </b></div>
  <p class="story">
   Once upon a time there were three little sisters; and their names were
   <a class="sister0" href="http://example.com/elsie" id="link1">
    Elsie
   </a>
   ,
   <a class="sister1" href="http://example.com/lacie" id="link2">
    Lacie
   </a>
   and
   <a class="sister2" href="http://example.com/tillie" id="link3">
    Tillie
   </a>
   ;
and they lived at the bottom of a well.
  </p>
   <script>alert(1234)</script>
  <p class="story sister2">
   ...
  </p>
 </body>
</html>
"""
# 第一步:實例化對象
from bs4 import BeautifulSoup
soup = BeautifulSoup(html_doc,"html.parser")
# 第二步:美化
print(soup.prettify())
# 第三步:查找標簽
print(soup.a)  #只能找到符合條件的第一個標簽
print(soup.find("a")) #只能找到符合條件的第一個標簽
print(soup.find_all("a"))  #找到所有的a標簽
print(soup.a["class"])  #找到a標簽的class屬性
print(soup.find_all(name="a"))#找所有標簽名是a標簽的
print(soup.find_all(attrs={"class":"sister1"}))#找屬性是class=sister1的
print(soup.find_all(name="a",attrs={"class":"sister1"}))#找a標簽並且屬性是class=sister1的

# ===========================
for ele_a in soup.find_all("a"):
    print(ele_a.attrs)  #找出a標簽的所有的屬性
    print(ele_a["href"])  #找出所有的a標簽的href屬性
    print(ele_a["class"])  #找出所有的a標簽的class屬性

for ele_a in soup.find_all("a"):
    print(ele_a.attrs)  #找出a標簽的所有屬性
    del ele_a["class"]  #刪除a標簽的class屬性
#
for ele_a in soup.find_all("a"):
    print(ele_a)  #找出a標簽


for ele in soup.find_all():
    if ele.attrs:
        '''如果有屬性'''
        if ele.attrs.get("class"):
            '''如果得到class屬性'''
            print(ele.attrs)
            del ele["class"]
print(soup)


for ele_a in soup.find_all("script"):    #soup是整個文檔對象,迴圈整個文檔的所有的script標簽
    print(ele_a.string)  #所有a標簽的文本
    print(ele_a.text)    #所有a標簽的文本
    ele_a.string.replace_with("//別瞎玩")  #替換a標簽的文本
print(soup)

 四個對象:

  1、comment對象:註釋對象

  2、Tag標簽對象:相當於html中的一個標簽對象

  3、BeautifulSoup對象:相當於整個文檔對象(Dom對象)

  4、Navigablefetry文本對象

下麵我們來具體應用一下:xss攻擊防護。吧一些不安全的給刪除或者替換了

def filter_xss(html_str):
    valid_tag_list = ["p", "div", "a", "img", "html", "body", "br", "strong", "b"]    #有效標簽列表

    valid_dict = {"img":["src","alt"],"p": ["id", "class"], "div": ["id", "class"]}    #有效屬性列表

    from bs4 import BeautifulSoup

    soup = BeautifulSoup(html_str, "html.parser")  # soup  ----->  document

    ######### 改成dict
    for ele in soup.find_all():
        # 過濾非法標簽
        if ele.name not in valid_dict:
            ele.decompose()
        # 過濾非法屬性

        else:
            attrs = ele.attrs  # p {"id":12,"class":"d1","egon":"dog"}
            l = []
            for k in attrs:
                if k not in valid_dict[ele.name]:
                    l.append(k)

            for i in l:
                del attrs[i]

    print(soup)

    return soup.decode()

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 在php官方文檔里有這麼一段: 代碼輸出結果如下: I am bar.I am bar.. 結果輸出了: I am bar.I am bar.you yyy. 確認 $foo->$baz[2] 即為 $foo->baz, 同理 $foo->$baz[1] 即 $foo->bar, 那麼第八行這裡 $ ...
  • 首先要說的是django與其他的框架不同,django是一個封裝的及其完善的框架,我們使用django也不會像之前寫學生系統那樣,django操作資料庫使用自帶的ORM來進行操作,Torando與Flask的資料庫使用就很自由(當然也可以使用我們之前的SQL helper),並且Flask的模板都不 ...
  • 操作系統 : CentOS7.3.1611_x64 go語言版本:1.8.3 linux/amd64 db2版本: db2_v101_linuxx64_expc 問題描述 怎麼使用go語言在CentOS環境下操作db2資料庫? 解決方案 go語言操作資料庫相關信息可以參考如下鏈接: https:// ...
  • 1、使用final關鍵詞修飾一個變數時,是引用不能變,還是引用的變數不能變? 使用final關鍵字修飾一個變數時,是指引用變數不能變,引用變數所指向的對象中的內容還是可以改變的。例如,對於如下語句:final StringBuffer a=new StringBuffer("immutable"); ...
  • 自定義模塊 模塊由什麼組成 npm 如何發佈自己的模塊 常見的命令: require 引入模塊 exports 輸出模塊 (想對外輸出東西時,必須加上exports) module.exports 批量輸出模塊 require 1.有‘./’ 從當前目錄中招 2.沒有‘./’ 先從系統模塊找,再從n ...
  • 1. 表達式語言OGNL OGNL簡介 OGNL基本語法 常量 操作符 OGNL表達式 OGNL基礎 OGNL上下文 OGNL值棧 OGNL的訪問 常量 操作符 OGNL表達式 OGNL上下文 OGNL值棧 OGNL的訪問 2. 具體內容 2.1 OGNL簡介 OGNL(Object-Graph N ...
  • 最近在學習workerman的時候比較頻繁的接觸到回調函數,使用中經常會因為worker的使用方式不同,會用這兩種不同的方式去調用外部的worker變數,這裡就整理一下PHP閉包獲取外部變數和global關鍵字聲明變數的區別。 閉包 閉包是一個常見的概念,我們通常可以將其與回調函數配合使用,可以使代 ...
  • 定義: 將一個複雜對象的構建與它的表示分離,使得同樣的構建過程可以創建不同的表示。生成器模式利用一個導演者對象和具體建造者對象一個一個地建造出所有的零件,從而建造出完整的對象。 四個要素: Builder:生成器介面,定義創建一個Product對象所需要的各個部件的操作。 ConcreteBuild ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...