xss漏洞解决

跨站脚本攻击的原理

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码，而程序对于用户输入内容未过滤，当用户浏览该页之时，嵌入其中Web里面的脚本代码会被执行，从而达到恶意攻击用户的特殊目的。
跨站脚本攻击的危害：窃取cookie、放蠕虫、网站钓鱼 …
XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法，那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为，通常难以看到XSS漏洞的威胁，而该病毒则将其发挥得淋漓尽致。

解决方案

由于我们在debug模式中，用户输入什么，就能返回什么，导致被认定为xss漏洞！TAT
于是乎，直接在request的参数里进行了html标签的去除。
Python没有类似php的strip_tags函数，不过有更为强大的HTMLParser。

from html.parser import HTMLParser

class StripTagsHTMLParser(HTMLParser):
    data = ""
    def handle_data(self, data):
        self.data += data
    
    def getData(self):
        return self.data

parser = StripTagsHTMLParser()
parser.feed('<html><head><title>Test</title></head>'
            '<body><h1>Parse me!</h1></body></html>')
data = parser.getData()
print(data)

输出：

TestParse me!