Flask-Jinjia2模板字符串过滤器

Flask-Jinjia2模板字符串过滤器

作者: 测试探索 | 来源:发表于2020-09-23 06:48 被阅读0次

禁止转义过滤器-safe

xss_test.py文件

from flask import Flask,render_template,request

app = Flask(__name__)

@app.route("/xss",methods=["GET","POST"])
def xss():
    text = ""
    if request.method == "POST":
        text = request.form.get("text")
    return render_template("xss.html",text = text)


if __name__ == '__main__':
    app.run(debug=True)

xss.html文件路径

xss.html文件

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form method="post">
        <textarea name="text"></textarea>
        <input type="submit" value="提交">
    </form>
    {{ text | safe}}

</body>
</html>

运行flask程序后，在输入框输入<script>alert("hello attack");</script>

image.png

如果xss.html代码里没有safe禁止转义的过滤器，会被转义

image.png

相关文章

网友评论

本文标题：Flask-Jinjia2模板字符串过滤器

本文链接：https://www.haomeiwen.com/subject/opknyktx.html

延伸阅读

深度阅读

您也可以注册成为美文阅读网的作者，发表您的原创作品、分享您的心情！

栏目导航

热点阅读

关于我们|服务条款|联系我们|Flask-Jinjia2模板字符串过滤器|投稿指南|网站地图|RSS订阅|排版工具|手机版

提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网版权所有

备案信息：桂公网安备 45052102000051号 · 桂ICP备13007215号-3

本站所收录作品、热点评论等信息部分来源互联网，目的只是为了系统归纳学习和传递资讯

所有作品版权归原创作者所有，与本站立场无关，如不慎侵犯了你的权益，请联系我们告知，我们将做删除处理！