day24-XSS过滤及单实例

一、前言

　　我们在提交文本到后台的时候，比如我们在写博客的过程中，如果有人在博客中写入 <script>alert(123)</script> 等，如果你在后台不把它过滤掉，那就会受到攻击，你的网站压根就没有办法用，那有什么办法过滤呐，今天我们就用一个 BeautifulSoup 这个模块来过滤一些，那如果使用这个模块呐，在使用之前必须安装这个模块：

pip install beautifulsoup4

ok，我们下面就来看看，如果使用这个模块，来过滤 XSS。

二、XSS过滤

2.1、操作的html

说明：以下的代码，都是针对我们所操作的html

content = '''<p>dwqdq<span style="font-family:NSimSun">sqsqsqsq</span></p><p><strong id='d10'>dwqdqw</strong><script>alert(123)</script></p><h2>qwdqwd</h2>
'''

2.2、知识点

说明：在过滤之前，我们要掌握一些知识点

from bs4 import BeautifulSoup
#清空某个标签，比如攻击的script标签
soup = BeautifulSoup(content,'html.parser')
tag = soup.find('script')  #找到script 标签
tag.hidden = True  #表示让script这个标签隐藏
tag.clear() #把找到那个标签清空
print(tag)#删除某个标签的属性
span = soup.find('span')
print(span.attrs)
del span.attrs['style']  #删除span标签style属性
print(span)#把对象转换成字符串的形式
content = soup.decode()
print(content)

2.2、只过滤标签

说明：如果我只过滤掉标签的话，不过滤标签属性

from bs4 import BeautifulSoup
#添加过了白名单
tags = ['p','strong']  #只允许添加p标签和strong标签
soup = BeautifulSoup(content,'html.parser')for tag in soup.find_all(): #find_all()找到所有标签if tag.name in tags:passelse:tag.hidden = Truetag.clear()content = soup.decode()
print(content)

2.3、过滤标签和标签属性

说明：我不仅要过滤标签，还要过滤掉标签属性

from bs4 import BeautifulSoup
#白名单
tags = {'p':['class'],'strong':['id'],
}
soup = BeautifulSoup(content,'html.parser')
for tag in soup.find_all():if tag.name in tags:passelse:tag.hidden = Truetag.clear()continue  #如果不在白名单，直接跳过# 用户提交标签的所有属性input_attrs = tag.attrs  # ['class':'c1','id':'i']valid_attrs = tags[tag.name]  #['class']for k,v in list(input_attrs.items()):  #input_attrs.items()会自动生成一个迭代器，del tag.attrs[k]是无法删除的if k in valid_attrs:passelse:del tag.attrs[k]

注意了：一般我们需要对后台提交过来的数据是要过滤的，特别是 kindEditor编辑器

三、单实例

　　我们都知道，我们在创建对象的时候，创建多个对象占的内存资源一定比创建一个对象占的资源多很多，所以我们，应该采用单实例模式，就是永远用一个对象示例

3.1、定义静态方法方式实现

说明：我们定义一个静态方法get_instance，去实现一个单实例的方式

class Foo(object):instance = None  #初始化一个对象def __init__(self):self.name = 'alex'@classmethoddef get_instance(cls):if Foo.instance:  #如果对象已经存在，就直接返回这个对象return Foo.instanceelse:  #不存在就创建一个新的对象Foo.instance = Foo()return Foo.instancedef process(self):return '123'obj1 = Foo.get_instance()
print(id(obj1))
obj2 = Foo.get_instance()
print(id(obj2))#输出
2483145426760
2483145426760

以上这种还是比较low的，我们还需要通过定义静态方法来搞定。

3.2、重写new方法实现

说明：我们知道一个创建一个对象，先执行它的 __new__方法，再去执行 __init__方法，所以我们重写new方法即可

class Foo(object):instance = None  #初始化一个对象def __init__(self):self.name = 'alex'def __new__(cls, *args, **kwargs):if Foo.instance:  #如果对象已经存在，就直接返回这个对象return Foo.instanceelse:  #不存在就创建一个新的对象Foo.instance = object.__new__(cls, *args, **kwargs)return Foo.instancedef process(self):return '123'obj1 = Foo()
print(obj1)
obj2 = Foo()
print(obj2)#输出
<__main__.Foo object at 0x00000156A41D4748>
<__main__.Foo object at 0x00000156A41D4748>

3.3、抄袭武sir的写法

class Foo(object):__instance = None  #初始化一个对象def __init__(self):self.name = 'alex'def __new__(cls, *args, **kwargs):if not cls.__instance:obj = object.__new__(cls, *args, **kwargs)cls.__instance = objreturn cls.__instancedef process(self):return '123'obj1 = Foo()
print(obj1)
obj2 = Foo()
print(obj2)#输出
<__main__.Foo object at 0x00000230DA454748>
<__main__.Foo object at 0x00000230DA454748>

四、总结

KindEditor编辑器：

　　1、beautifulsoup4 对标签进行过滤

　　2、单实例模式 => 永远用一个对象的实例

转载于:https://www.cnblogs.com/zhangqigao/articles/9075623.html