富文本编辑框和防止xss攻击
一、后台管理页面构建
1、创建后台管理url
urlpatterns = [
...
# 后台管理url
re_path("cn_backend/$", views.cn_backend),
re_path("cn_backend/add_article/$", views.add_article),
...
]
2、构造视图函数
from django.contrib.auth.decorators import login_required # 装饰器:login_required() @login_required
def cn_backend(request):
"""
后台管理页面
:param request:
:return:
"""
# 当前登录人发布过得文章列表
article_list = models.Article.objects.filter(user=request.user) return render(request, "backend/backend.html", locals()) @login_required
def add_article(request):
"""
后台管理添加文章视图函数
:param request:
:return:
"""
if request.method == "POST":
title = request.POST.get("title")
content = request.POST.get("content")
# 生成article对象
models.Article.objects.create(title=title, content=content, user=request.user)
return redirect("/cn_backend/") return render(request, "backend/add_article.html")
3、在templates目录下创建backend子目录,构建模板
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>博客后台管理 - 博客园</title>
<!-- 引入 Bootstrap 核心 CSS 文件 -->
<link rel="stylesheet" href="/static/blog/bootstrap-3.3.7/css/bootstrap.css">
<!-- jQuery (Bootstrap 的所有 JavaScript 插件都依赖 jQuery,所以必须放在前边) -->
<script src="/static/js/jquery-3.3.1.js"></script>
<!-- 引入 Bootstrap 核心 JavaScript 文件 -->
<script src="/static/blog/bootstrap-3.3.7/js/bootstrap.js"></script> <!--依赖jquery-->
<link rel="stylesheet" href="/static/blog/css/backend.css">
</head>
<body> <div class="header">
<p class="title">
后台管理 <a class="info" href="/logout/">注销</a>
<span class="info"><span class="glyphicon glyphicon-user"></span> {{ request.user.username }}</span>
</p>
</div> <div class="container">
<div class="col-md-3">
<div class="panel-group" id="accordion" role="tablist" aria-multiselectable="true">
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="headingOne">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parent="#accordion" href="#collapseOne"
aria-expanded="true" aria-controls="collapseOne">
操作
</a>
</h4>
</div>
<div id="collapseOne" class="panel-collapse collapse in" role="tabpanel" aria-labelledby="headingOne">
<div class="panel-body">
<!--添加文章url跳转-->
<p><a href="/cn_backend/add_article/">添加文章</a></p>
</div>
</div>
</div> </div>
</div>
<div class="col-md-9"> <div>
<!-- Nav tabs -->
<ul class="nav nav-tabs" role="tablist">
<li role="presentation" class="active"><a href="#home" aria-controls="home" role="tab"
data-toggle="tab">文章</a></li>
<li role="presentation"><a href="#profile" aria-controls="profile" role="tab"
data-toggle="tab">日记</a></li>
<li role="presentation"><a href="#messages" aria-controls="messages" role="tab" data-toggle="tab">眼镜</a>
</li>
<li role="presentation"><a href="#settings" aria-controls="settings" role="tab" data-toggle="tab">相册</a>
</li>
</ul> <!-- Tab panes -->
<div class="tab-content">
<div role="tabpanel" class="tab-pane active" id="home">
{% block content %} {% endblock %}
</div>
<div role="tabpanel" class="tab-pane" id="profile"> <img src="/static/blog/img/meinv2.jpg" alt="">
<img src="/static/blog/img/meinv3.jpg" alt="">
<img class="pull-right" src="/static/blog/img/meinv.jpg" alt="">
</div>
<div role="tabpanel" class="tab-pane" id="messages"> <img width="180" height="180" src="/static/blog/img/hashiqi2.jpg" alt=""> <img width="180" height="180" src="/static/blog/img/dogg4.jpg" alt="">
<img width="180" height="180" src="/static/blog/img/linhaifeng.jpg" alt=""><br>
<img width="180" height="180" src="/static/blog/img/dogg3.jpeg" alt="">
<img width="180" height="180" src="/static/blog/img/dogge2.jpg" alt=""> <img width="180" height="180" src="/static/blog/img/dogg5.jpg" alt=""> </div>
<div role="tabpanel" class="tab-pane" id="settings"> </div>
</div> </div> </div>
</div> </body>
</html>
backend/base.html
扩展模板:
{% extends 'backend/base.html' %} {% block content %}
<div class="article_list small"> <table class="table table-hover table-striped">
<thead>
<th>标题</th>
<th>评论数</th>
<th>点赞数</th>
<th>操作</th>
<th>操作</th>
</thead>
<tbody>
{% for article in article_list %}
<tr>
<td>{{ article.title }}</td>
<td>{{ article.comment_count }}</td>
<td>{{ article.up_count }}</td>
<td><a href="">编辑</a></td>
<td><a href="">删除</a></td>
</tr>
{% endfor %} </tbody>
</table>
</div>
{% endblock %}
backend/backend.html
{% extends 'backend/base.html' %} {% block content %}
{# 提交form表单 #}
<form action="" method="post">
{% csrf_token %}
<div class="add_article">
<div class="alert-success text-center">添加文章</div> <div class="add_article_region">
<div class="title form-group">
<label for="">标题</label>
<div>
<input type="text" name="title">
</div>
</div> <div class="content form-group">
<label for="">内容(Kindeditor编辑器,不支持拖放/粘贴上传图片) </label>
<div>
<textarea name="content" id="article_content" cols="30" rows="10"></textarea>
</div>
</div> <input type="submit" class="btn btn-default"> </div>
</div>
</form>
<script charset="utf-8" src="/static/blog/kindeditor/kindeditor-all.js"></script> <script>
KindEditor.ready(function (K) {
window.editor = K.create('#article_content', { // 找到这个标签就会引入文本编辑器
width: "800",
height: "600",
resizeType: 0,
uploadJson: "/upload/",
extraFileUploadParams: {
csrfmiddlewaretoken: $("[name='csrfmiddlewaretoken']").val()
},
filePostName: "upload_img"
});
});
</script>
{% endblock %}
backend/add_article.html
在/static/blog/css/backend.css构建模板样式:
* {
margin:;
padding:;
} .header {
width: 100%;
height: 60px;
background-color: #333333;
line-height: 60px;
} .header .title {
color: white;
font-size: 20px;
margin-left: 20px;
font-weight:;
} .header .title .info {
float: right;
margin-right: 20px;
font-size: 14px;
text-decoration: none;
color: white; } #accordion {
margin-top: 20px;
} .article_list {
padding: 30px;
} .alert-success {
margin: 8px 0;
} [name='title'] {
width: 100%;
} .tab-pane {
margin-top: 40px;
margin-left: 40px;
} .tab-pane img { border-radius: 80%;
margin: 20px 20px;
}
backend.css
4、展示效果
二、编辑器引入和使用
1、kindeditor编辑器
kindeditor编辑器官网和文档:http://kindeditor.net/doc.php
kindeditor编辑器下载页面: http://www.kindsoft.net/down.php
(1)引入编辑器
在页面中添加以下脚本
<script charset="utf-8" src="/editor/kindeditor.js"></script>
<script charset="utf-8" src="/editor/lang/zh-CN.js"></script>
<script>
KindEditor.ready(function(K) {
window.editor = K.create('#editor_id');
});
</script>
注意将下载好的文件中的kindeditor.js文件放入项目目录中引入。在K.create()查找的标签引入文本编辑器。
(2)配置编辑器参数
通过K.create函数的第二个参数,可以对编辑器进行配置,具体参数请参考 编辑器初始化参数 。
width:编辑器的宽度,可以设置px或%,比textarea输入框样式表宽度优先度高。
height:编辑器的高度,只能设置px,比textarea输入框样式表高度优先度高。
resizeType:2或1或0,2时可以拖动改变宽度和高度,1时只能改变高度,0时不能拖动。
uploadJson:指定上传文件的服务器端程序。
extraFileUploadParams:上传图片、Flash、视音频、文件时,支持添加别的参数一并传到服务器。
filePostName:指定上传文件form名称。
2、在博客项目中引入编辑器
在backend/add_article.html中添加编辑器:
{% extends 'backend/base.html' %} {% block content %}
{# 提交form表单 #}
<form action="" method="post">
...
</form>
<script charset="utf-8" src="/static/blog/kindeditor/kindeditor-all.js"></script>
<script>
KindEditor.ready(function (K) {
window.editor = K.create('#article_content', { // 找到这个标签就会引入文本编辑器
width: "800",
height: "600",
resizeType: 0,
uploadJson: "/upload/",
extraFileUploadParams: {
csrfmiddlewaretoken: $("[name='csrfmiddlewaretoken']").val()
},
filePostName: "upload_img"
});
});
</script>
{% endblock %}
编辑器显示效果:
3、编辑器上传功能
(1)添加upload路由
urlpatterns = [
...
path('upload/', views.upload),
...
]
(2)直接使用编辑器的文件上传功能,发现forbidden报错。
这是由于文本编辑器发送文件时使用的POST请求,被django拦截,因此需要在数据中携带一个csrf_token。
这里使用extraFileUploadParams(上传图片、Flash、视音频、文件时,支持添加别的参数一并传到服务器)来实现携带csrf_token参数。
<script>
KindEditor.ready(function (K) {
window.editor = K.create('#article_content', { // 找到这个标签就会引入文本编辑器
width: "800",
height: "600",
resizeType: 0,
uploadJson: "/upload/",
extraFileUploadParams: {
csrfmiddlewaretoken: $("[name='csrfmiddlewaretoken']").val()
}
});
});
</script>
在这里它添加的是一对键值,键是csrfmiddlewaretoken,值是取的页面中属性name为csrfmiddlewaretoken对应的值。
(3)添加upload视图函数
def upload(request):
print(request.FILES)
return HttpResponse("ok")
request.FILES中的键来自于表单中的<input type="file" name="" />的name值,request.FILES中的值均为UploadedFile类文件对象。
上传文件后输出如下:
<MultiValueDict: {'imgFile': [<InMemoryUploadedFile: dogg4.jpg (image/jpeg)>]}>
(4)指定修改上传文件的键
filePostName:指定上传文件form名称
<script>
KindEditor.ready(function (K) {
window.editor = K.create('#article_content', { // 找到这个标签就会引入文本编辑器
width: "800",
height: "600",
resizeType: 0,
uploadJson: "/upload/",
extraFileUploadParams: {
csrfmiddlewaretoken: $("[name='csrfmiddlewaretoken']").val()
},
filePostName: "upload_img"
});
});
</script>
修改后,上传文件输出如下:
<MultiValueDict: {'upload_img': [<InMemoryUploadedFile: dogg4.jpg (image/jpeg)>]}>
4、用户上传文件处理
(1)之前将用户上传的头像是存放在/media/avatars目录下,现在再创建一个/media/add_article_img目录来存放上传的图片文件。
(2)用户上传的文件指定到了upload视图函数,构建upload来下载图片到本地服务器
def upload(request):
print(request.FILES) # <MultiValueDict: {'upload_img': [<InMemoryUploadedFile: dogg4.jpg (image/jpeg)>]}>
img = request.FILES.get("upload_img") # 文件对象
print(img.name) # 文件名 path = os.path.join(settings.MEDIA_ROOT, "add_article_img", img.name)
with open(path, "wb") as f:
for line in img:
f.write(line) return HttpResponse("ok")
上传完成后,在服务器查看下载好的图片文件:
5、处理用户上传完成后信息显示
完成图片上传后,浏览器显示的信息如下:
需要在文本编辑器中显示上传的图片,需要继续构建upload函数,下载完文件后把对应的路径交给文本编辑器:
def upload(request):
print(request.FILES) # <MultiValueDict: {'upload_img': [<InMemoryUploadedFile: dogg4.jpg (image/jpeg)>]}>
img = request.FILES.get("upload_img") # 文件对象
print(img.name) # 文件名 path = os.path.join(settings.MEDIA_ROOT, "add_article_img", img.name)
with open(path, "wb") as f:
for line in img:
f.write(line) # 下载完文件后,把对应的路径交给文本编辑器,文本编辑器构建img标签,我们就能够看到这个图片了。
response = {
"error": 0,
"url": "/media/add_article_img/%s" % img.name, # 能够预览这张图片的路径
} # 将这个字典交还给文本编辑器,做json序列化
import json
return HttpResponse(json.dumps(response))
注意:
(1)显示图片的思路是:下载完文件后,把对应的路径交给文本编辑器,文本编辑器构建img标签,就能够看到这个图片了。
构建的字典有两对键值:error=0代表没有发生任何错误;
url对应的路径不是图片存储的绝对路径而是能够访问查看的路径:127.0.0.1:8000/media/add_article_img/dog3.jpg
(2)编辑器要求返回的数据必须是json数据,因此需要将构建好的字典做json序列化后回传
# 将这个字典交还给文本编辑器,做json序列化
import json
return HttpResponse(json.dumps(response))
(3)检查验证:
检查html:
三、文章摘要的保存
1、修改add_article视图,截取文章内容作为文章摘要
@login_required
def add_article(request):
"""
后台管理添加文章视图函数
:param request:
:return:
"""
if request.method == "POST":
title = request.POST.get("title")
content = request.POST.get("content") desc = content[0:150] # 截取文章内容作为摘要 # 生成article对象
models.Article.objects.create(title=title, desc=desc, content=content, user=request.user)
return redirect("/cn_backend/") return render(request, "backend/add_article.html")
这种情况下,如果文章内容是纯文本,摘要内容是会正常显示的。但如果文章内容是标签字符串,包含有各种样式,那就会出现问题。
2、截取摘要问题分析
(1)index.html中文章摘要添加safe过滤器
如果不添加safe过滤器,那首页显示的文章摘要将以标签字符串的形式展示:
添加过滤器后不再对字符串进行转义:
<span class="media-right">
{# 文章摘要 #}
{{ article.desc|safe }}
</span>
(2)添加|safe过滤器后,摘要样式产生了错乱
这是由于截取的150的标签字符串没有闭合导致。因此不应该是截取content,而是应该截取content中的文本前150个。
3、Beautiful Soup库(bs4)介绍
HTML文件其实就是由一组尖括号构成的标签组织起来的,每一对尖括号形式一个标签,标签之间存在上下关系,形成标签树;因此可以说Beautiful Soup库是解析、遍历、维护“标签树”的功能库。
安装Beautiful Soup:
pip3 install bs4
Beautiful Soup支持Python标准库中的HTML解析器,还支持一些第三方的解析器,这里使用Python默认支持的解析器:html.parser。
使用方法:
from bs4 import BeautifulSoup s = "<h1>hello</h1><span>123</span>" soup = BeautifulSoup(s, "html.parser") print(soup.text) # 输出:hello123
可以看到输出的是标签内的文本。
4、利用bs4来解决摘要截取问题
from bs4 import BeautifulSoup @login_required
def add_article(request):
"""
后台管理添加文章视图函数
:param request:
:return:
"""
if request.method == "POST":
title = request.POST.get("title")
content = request.POST.get("content") soup = BeautifulSoup(content, "html.parser") # 标签字符串是content # 构建摘要数据,获取标签字符串的文本前150个符号
desc = soup.text[0:150]+"..." # 生成article对象
models.Article.objects.create(title=title, desc=desc, content=content, user=request.user)
return redirect("/cn_backend/") return render(request, "backend/add_article.html")
再次添加文章,注意要将编辑器切换到html标签预览模式,再粘贴标签字符串。
首页摘要显示效果:
5、利用bs4模块防御xss攻击
(1)利用bs4过滤非法标签:
from bs4 import BeautifulSoup s = "<h1>hello</h1><span>123</span><script>alert(123)</script>"
# Python默认支持的解析器:html.parser
soup = BeautifulSoup(s, "html.parser")
# print(soup.text) print(soup.find_all()) # 获取所有的标签对象:[<h1>hello</h1>, <span>123</span>, <script>alert(123)</script>] for tag in soup.find_all():
print(tag.name)
"""
h1
span
script
"""
if tag.name == "script":
# 非法标签
tag.decompose() # 从soup中删除标签 print(str(soup)) # <h1>hello</h1><span>123</span>
注意:
1)每个tag都有自己的名字,通过 .name
来获取;
2)Tag.decompose()
方法将当前节点移除文档树并完全销毁。
3)find_all( name , attrs , recursive , string , **kwargs ),find_all()
方法搜索当前tag的所有tag子节点,并判断是否符合过滤器的条件.
(2)应用在add_article视图函数中
from bs4 import BeautifulSoup @login_required
def add_article(request):
"""
后台管理添加文章视图函数
:param request:
:return:
"""
if request.method == "POST":
title = request.POST.get("title")
content = request.POST.get("content") soup = BeautifulSoup(content, "html.parser") # 标签字符串是content # 防止xss攻击,过滤script标签
for tag in soup.find_all():
print(tag.name)
if tag.name == "script":
tag.decompose() # 构建摘要数据,获取标签字符串的文本前150个符号
desc = soup.text[0:150]+"..." # 生成article对象
models.Article.objects.create(title=title, desc=desc, content=str(soup), user=request.user)
return redirect("/cn_backend/") return render(request, "backend/add_article.html")
注意保存的content不再是原始的content而是处理之后的标签字符串。
(3)检查验证
创建新文章:
检查script标签是否清除:
数据库查看content内容:
富文本编辑框和防止xss攻击的更多相关文章
- KindEditor富文本编辑框和BeautifulSoup的基本使用
KindEditor富文本编辑框 1.进入官网 2.下载 官网下载:http://kindeditor.net/down.php 本地下载:http://files.cnblogs.com/files ...
- Jeesite富文本编辑框ckeditor显示错误
Jeesite富文本编辑框ckeditor显示错误 原文链接:https://www.toutiao.com/i6485135618190869005/ Jeesite中Control都会继承一个Ba ...
- UEditor富文本编辑框学习
1.首先需要引入CSS.JS <!--富文本编辑框--> <link href="${pageContext.request.contextPath}/css/plugin ...
- 使用Flask-CKEditor集成富文本编辑框
使用Flask-CKEditor集成富文本编辑框 富文本编辑器即所见即所得编辑器,类似于文本编辑软件.它提供一系列按钮和下拉列表来为文本设置格式,编辑状态的文本样式即最终呈现出来的样式.在Web程序中 ...
- java-selenium(二)富文本编辑框的处理
首先先看一下什么是富文本编辑框 HTML源码 思路:首先先进入到iframe中,再用js写,最后切出iframe 如果想要换行可以在换行的地方加上<br> 如果添加的文本中包含单引号.双引 ...
- node.js+express+jade系列七:富文本编辑框的使用
下载nicEdit富文本编辑框, 把nicEdit.js文件放到public/javascripts/下 新建jade文件:代码如下 doctype htmlhtml head t ...
- Django文件上传下载与富文本编辑框
django文件上传下载 上传 配置settings.py # 设定文件的访问路径,如:访问http://127.0.0.1:8000/media/就可以获取文件 MEDIA_URL = '/medi ...
- 8. 博客系统| 富文本编辑框和基于bs4模块防御xss攻击
views.py @login_required def cn_backend(request): article_list = models.Article.objects.filter(user= ...
- bbs项目引入富文本编辑器和处理xss攻击和文章预览
一.富文本编辑上传文章和图片 富文本编辑器我们使用kindeditor,我们首先去官网下载,然后解压,放到我们的static的目录中 然后我们在html中这样使用富文本编辑器 <!DOCTYPE ...
随机推荐
- 跟我一起读postgresql源码(一)——psql命令
进公司以来做的都是postgresql相关的东西,每次都是测试.修改边边角角的东西,这样感觉只能留在表面,不能深入了解这个开源数据库的精髓,遂想着看看postgresql的源码,以加深对数据库的理解, ...
- bootstrap表单控件
禁用状态: 被禁用的 fieldset 为<fieldset> 设置 disabled 属性,可以禁用 <fieldset> 中包含的所有控件. <form> &l ...
- Flask Web开发实战(入门、进阶与原理解析)
URL重定向 错误响应 > 如果你想手动返回错误响应,可以使用Flask提供的abort()函数. XML 上下文全局变量 [](https://img2018.cnblogs.com/blog ...
- 【算法笔记】B1048 数字加密
1048 数字加密 (20 分) 本题要求实现一种数字加密方法.首先固定一个加密用正整数 A,对任一正整数 B,将其每 1 位数字与 A 的对应位置上的数字进行以下运算:对奇数位,对应位的数字相加后对 ...
- UESTC - 1147 求最短路方案数
这道题很是说明了记忆化搜索的重要性 瞎bfs递推半天发现没卵用(也许是姿势不对,但我认为树形或图形dfs明显好写并且很好正确地递推) 参考了别人的写法,总感觉自己的实现能力太弱了 还有题目是1e9+9 ...
- vm 中安装 CentOS7
第三步:安装ISO文件 1.在vm下,文件,新建虚拟机 在我的机算机中,选中刚命名的CentOS7,右键,属性 2.开启虚拟机 PS: 打开虚拟机之后,提示了一个小错误,LZ根据错误提示,到BIOS里 ...
- C++ GUI Qt4编程(13)-6.2preferencedialog
1. 主要介绍了QStackedLayout.QListWidget.QDialogButtonBox的简单用法.2. QStackedLayout: 要使某个特定的子窗口部件可见,可以用setC ...
- DOC窗口之cd命令(windows)
cd的全称是Change Directory,改变文件夹,也就是切换路径.后面可以接驱动器符号.完整路径和相对路径. 通常win+R,输入cmd,便会看到以下界面, 通常,这个命令下并没有我们想要处理 ...
- python3.6 request模块和ddt模块的安装
1.1用cmd命令进到python的安装目录的Scripts文件夹 1.2.然后输入 pip install requests,出现以下提示,说明安装成功 2.安装ddt步骤一样,只是把pip ins ...
- PIE SDK算法的同步调用
1. 算法功能简介 同步调用一旦开始,调用者必须等到方法调用返回后,才能继续后续的行为. PIE SDK支持算法功能的执行,下面对算法的同步调用功能进行介绍. 2. 算法功能实现说明 2. ...