第三百九十二节，Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击

第三百九十二节，Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击

 

sql注入攻击

 

也就是黑客通过表单提交的地方，在表单里输入了sql语句，就是通过SQL语句绕开程序判断，获取到数据库的内容

所以需要对用户输入的内容进行判断合法性，Django的orm对sql注入进行了处理

 

 

 

xss攻击

就是黑客通过，构造网站的动态url传参在URL传入js代码，获取到用户的cookie，在根据cookie来冒充用户做用户行为，所以尽量用post来提交信息，如果有动态get请求的URL要对参数做判断

第一步

 

第二步

 

csrf攻击

就是用户登录了一个可信任的网站A时保存了A网站的cookie，当用户又访问了b网站，b网站里做了伪装用户对a网站的请求操作，那么当用户在请求b网站时，就会自动伪装用户行为到A网站操作，因为A网站的cookie还存在, 所以Django里一定要启用Django的csrf攻击防范