奇安信Python反射型XSS解决办法-2021.12.17_奇安信代码扫描出现的xss问题怎么解决

项目上线需要通过奇安信代码扫描，在网络上没有找到Python的具体解决办法，参考别人的博客试了一下，通过了代码测试

缺陷的详细信息为：

应用程序通过web请求获取不可信的数据，在未检验数据是否存在恶意代码的情况下，便将其传送给了web用户，应用程序将容易受到反射型xss攻击。

示例：

name = request.GET['name']
return 'username:'+name
1
2

如果name里包含恶意代码，那么web浏览器就会执行该代码，应用程序将受到反射型xss攻击。

修复建议：
1.输入验证(比如只允许输入字母或数字) (因为输入不一定，无法用该办法)
2.输出编码
3.为cookie设置http only属性 app.config[‘SESSION_COOKIE_HTTPONLY’] = True (这个试过了，没有通过检验)

有在网上找到java的解决办法：https://mp.weixin.qq.com/s/JYYPzZEviQJwCqXLqlJRDQ

Python的解决办法：
创建类

from html.parser import HTMLParser

class StripTagsHTMLParser(HTMLParser):
    data = ""
    def handle_data(self,data):
        self.data += data

    def getData(self):
        return self.data 
1
2
3
4
5
6
7
8
9

在每一次拿到request返回时应用下列代码

parser = StripTagsHTMLParser()
parser.feed(request.data.decode('utf-8'))
front_data = parser.getData()
就可以解决到这个缺陷了
1
2
3
4

值得注意的是，应为这个类写的是字符串累加的，所以如果一个函数里面有两处返回，需要实例化该类两次，不然会出错哦

参考文档：https://www.jianshu.com/p/57475845f3ad

有帮助的话，记得帮我点赞哦~