XSSのような悪意のある入力をフィルタリングするのに有効な、維持管理されたPythonライブラリがありますか?XSSフィルタリングのためのPythonライブラリ?
答えて
Strip-o-Gramライブラリはかなりいいですね。私は適切にチェックアウトしていませんが、それはうまくやっているようです(つまり、指定したHTMLタグをホワイトリストに入れることができますし、HTMLエスケープなものは厄介です)。
ここでは、そのページから引用した使用例スニペット、です:
from stripogram import html2text, html2safehtml
mylumpofdodgyhtml # a lump of dodgy html ;-)
# Only allow <b>, <a>, <i>, <br>, and <p> tags
mylumpofcoolcleancollectedhtml = html2safehtml(mylumpofdodgyhtml,valid_tags=("b", "a", "i", "br", "p"))
# Don't process <img> tags, just strip them out. Use an indent of 4 spaces
# and a page that's 80 characters wide.
mylumpoftext = html2text(mylumpofcoolcleancollectedhtml,ignore_tags=("img",),indent_width=4,page_width=80)
希望に役立ちます。
攻撃者が素敵なタグを入れたと信じることはできません。 strip-o-gramが大量にエンコードされたタグで動作しない限り(rsnakeのリスト:http://ha.ckers.org/xss.htmlを参照)、これはうまくいきません。 – Mystic
Miticは言った。 Strip-o-gram(男の子はあなたが孤独な友人を応援するために何かのように聞こえるのですが)のように見えますが、XSSに対する防御としては説明されていません。 –
PythonでXSS防御を簡単にコーディングすることができます(例:http://code.activestate.com/recipes/496942/を参照)。
WebフレームワークとJinja2のようなテンプレートエンジンを使用している場合、テンプレートエンジンまたはフレームワークにはそれ専用のものが組み込まれている可能性があります。
cgi.escape('malicious code here')
またJinja2のエスケープ提供:それを行いますhtmlタグを削除
from jinja2 import utils
str(utils.escape('malicious code here'))
Python 3.4以降では、stdlibに 'html.escape'があります! –
- 1. クロスサイトスクリプティング(XSS)をフィルタリングするための優れたライブラリがCPANにありますか?
- 2. XSS攻撃の文字列をフィルタリングするために使用できるjavascriptライブラリはありますか?
- 3. 出力のXSSフィルタリングはOKですか?
- 4. Python - 大きなファイルをフィルタリング/ソートするための提案?
- 5. アニメーションマップの視覚化のためのPythonライブラリ
- 6. ネストされたPythonオブジェクト(dicts)からツリーグラフを作成するためのPythonライブラリ
- 7. オプティカルフローの空間微分を計算するためのPythonライブラリ
- 8. 引数を使ったPythonリストのフィルタリング
- 9. Zendビューの$ this-> escape()はxssのために十分です
- 10. XSSクロスサイトスクリプティングを扱うためのJboss/ApacheレベルのHTMLエンコーディング
- 11. Apache Commons StringEscapeUtilsとXSS防止のためのJSoup?
- 12. A PHPのSQLインジェクションを防ぐための機能とXSS
- 13. Sqliteでコードワーキングを行うためのPython 3ライブラリ
- 14. ウィキペディアからデータを抽出するためのPythonライブラリ?
- 15. クイックブックにアクセスするためのPythonライブラリはありますか?
- 16. 時間関連データを扱うためのPythonライブラリ?
- 17. ビデオを分割するためのPythonライブラリ
- 18. 複雑なフィルタリングのためのSQLプリペアドステートメント
- 19. フィルタリングのための効率的なアルゴリズム
- 20. フィルタリングのためのWeb API動的パラメータ
- 21. のためのUPnPライブラリ
- 22. ゲームのためのGUIライブラリ
- 23. イメージセグメンテーションのためのC++ライブラリ
- 24. プロファイリングのためのLinuxライブラリ
- 25. Zend Framework入力/出力XSSフィルタリング:ストリップタグ、テキスタイル、BBCode
- 26. JSF 2.0;エスケープ= "偽" XSSを防ぐための代替?
- 27. フィルタリングpython list comprehensions
- 28. jquery urlをフィルタリングするためのRegExp
- 29. カスタムプレースホルダを使用した文字列書式設定のためのPythonライブラリ
- 30. Pythonリストのフィルタリングと変換
まあ何
あなたを助けることができるCGIモジュールで何かがあります。あなたはあなたが保持したいもののための特別な要件を持っていましたか? – SpliFF
私はちょうど上記のコメントが非常に素朴であることを指摘したいと思います。もしあなたがそれを読んだら、また読んでみてください:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheetを開始として。 – mkoistinen