1.xss跨站脚本攻击 - 恶意攻击者将代码通过网站注入到其他用户浏览器中的 攻击方式:
1.攻击者会把恶意 JavaScript 代码作为普通数据放入
到网站数据库中;
2.其他用户在获取和展示数据的过程中,运行
JavaScript 代码;
3.JavaScript 代码执行恶意代码(调用恶意请求,发送
数据到攻击者等等)。
#参考:https://i.cnblogs.com/posts/edit
规避方法:不要直接返回html内容,要return render(request,'jobdetail.html',context)
2.SQL 注入攻击
攻击者直接对网站数据库执行任意 SQL语句,在无需 用户权限的情况下即可实现对数据的访问、修改甚至是删除
Django 的 ORM 系统自动规避了 SQL 注入攻击
3.CSRF 跨站请求伪造: 恶意攻击者在用户不知情的情况下,使用用户的身份来操作
1. 黑客创建一个 请求网站 A 类的 URL 的 Web 页面,放在恶意网站 B 中 ,这个文件包含了一个创建
用户的表单。这个表单加载完毕就会立即进行提交。
2. 黑客把这个恶意 Web 页面的 URL 发送至超级管理员,诱导超级管理员打开这个 Web 页面。
解决办法:
1.把@csrf_exempt 去掉
2.在表单模板中添加 {% csrf_token %}