Django의 XSS 공격과 방어 원리

Django에서 XSS 공격은 바로 크로스 스크립트 공격이다. HTML을 이용하여 페이지에 악의적인 라벨을 렌더링하여 사이트를 공격하는 효과를 얻는 것이다. 더욱 심각한 상황은 사용자 정보를 직접 얻고 사이트에 막대한 손실을 초래하는 것이다.다만 Django가 자동으로 이 보호 기능을 해 주었기 때문에 우리는 일부러 이런 보호를 할 필요가 없지만 개발자에게 이러한 제한을 호출하거나 해제할 때 빈틈이 남지 않도록 주의해야 한다.제한을 해제하는 것은 매우 간단하다. 두 가지 방법이 있다.첫째, 전방 템플릿 언어에서 구현하려면 도움말 함수safe만 사용해야 합니다.예:

　　{{ str|safe }}

둘째, 백엔드views에서 구현:

　　from django.utils.safestring import mark_safe
　　
　　str = mark_safe(str)