版权声明：可以任意转载，转载时请标明文章原始出处-xjtushilei和作者信息：石磊

xss漏洞解决

跨站脚本攻击的原理

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码，而程序对于用户输入内容未过滤，当用户浏览该页之时，嵌入其中Web里面的脚本代码会被执行，从而达到恶意攻击用户的特殊目的。

跨站脚本攻击的危害：窃取cookie、放蠕虫、网站钓鱼 …

跨站脚本攻击的分类主要有：存储型XSS、反射型XSS、DOM型XSS

XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法，那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为，通常难以看到XSS漏洞的威胁，而该病毒则将其发挥得淋漓尽致。

由于我们在debug模式中，用户输入什么，就能返回什么，导致被认定为xss漏洞！TAT

于是乎，直接在request的参数里进行了html标签的去除。本来可更好一点，通过第三方包，但是运维对python容器制作很烦，于是我就用了正则表达式。TAT

使用用户输入的参数拼凑SQL查询语句，使用户可以控制SQL查询语句

防御方法

建议方法：不要使用拼接的sql，使用占位符,例如使用JdbcTemplate

python的web开发环境真的不好，写个服务端都不能愉快的玩耍。自己实现了个简单的sql安全检测搞定了。