vlambda博客
学习文章列表

Django模板通常用于将数据传递给JavaScript代码。不幸的是，如果实现的不正确的话，就可能会增加HTML注入的可能性，从而导致XSS（跨站点脚本）攻击。

这是我在Django项目中遇到的最常见的安全问题之一。事实上，我几乎在每一个大型Django项目上以这样或那样的形式见到过它。

此外，我这里不点名指责，但我也在很多社区资源中看到过它。这包括会议演讲、博客文章和Stack Overflow的回答。

这很难做好!由于只有Django 2.1添加了json_script模板标记来安全地实现这一点，所以这也是一个历史性难题。(有关这个问题的ticket已经被开启六年了!)

让我们看看这个问题，以及我们如何使用json_script修复它。

易受攻击的方式

让我们来看看这个视图:

…以及这个模板:

不幸的是，正如我们所写的，该模板对HTML注入是开放的。这是因为如果数据中的任何地方包含</script>，那么结果的其余部分都会被解析为额外的HTML。我们将此称为HTML注入，攻击者可以使用它向你的站点添加任意(恶意)内容。

如果mydata可以被第三方以任何方式控制，那么，比如用户的评论或API的返回数据都可能被攻击者尝试用来进行HTML注入。

假设get_mydata()返回了这个巧妙的字符串:

(我使用的是一个字符串，但这也适用于字典和列表，因为在JavaScript中它们也可以包含字符串。)

然后该模板将渲染为:

浏览器首先仅通过HTML标记解析页面，而不检查其中的JavaScript。

所以它会认为第一个<script>在mydata = "之后关闭。它会尝试运行这个JavaScript，这将产生崩溃并返回一个关于不完整的字符串的错误。

然后，浏览器将解析第二个作为页面的合法部分注入的<script>标记。这意味着它会加载evil.js。

最后，它会将尾部的";作为文本进行渲染，并忽略最后的</script>，因为它没有与一个开始的<script>相匹配。

evil.js可能会做一些坏事，比如窃取你的用户的会话cookie并将其发送给攻击者。

这就惨了。

注意“safe”

如果我们不使用 |safe 的话，我们的模板将会是安全的。每当我们使用safe模板过滤器时，我们实际上是在说“我保证这些数据是安全的，可以直接包含在HTML中”。但这里不是这样。

如果我们从模板中删除它:

那我们就不容易受到上面的攻击了。但数据将不会按预期的进行渲染:

因为所有的HTML实体都已被转义，所以这个字符串在JavaScript中不能按预期使用。或者你需要编写额外的JavaScript来解码它们的转义，这又一次为攻击提供了机会。

另一种易受攻击的方式

另一种常见的易受攻击的模式是在视图中使用json.dumps()，并在模板中称该值为“safe”。例如，采用这个视图:

…以及这个模板:

这看起来更安全一些，因为我们将数据序列化为JSON，并使用了“safe”模板过滤器。不幸的是，它同样容易受到攻击，因为它也不是HTML安全的。

再想象一下，如果mydata还是和上面一样的字符串。这将使mydata_json等于:

(来自json.dumps的额外双引号会将mydata转换为一个存储在Python字符串中的JSON字符串。

然后这个模板将渲染到:

我们再一次遇到了同样的问题。浏览器将把HTML作为一个不完整的<script>进行解析，然后再解析另一个包含evil.js的<script>，然后是文本";，最后是一个被忽略的</script>。

安全的方式

使用Django避免这个漏洞的最佳方法是使用json_script模板标记。它会使用JSON脚本标记以防HTML注入的方式输出数据。

在我们的模板中，我们会像这样使用它:

这会被渲染成这样:

这是一个<script>，但由于它的类型是“application/json”而不是JavaScript类型，所以浏览器不会执行它。Django已经用JSON字符串unicode转义形式替换了所有的HTML敏感字符，比如\u003C。因此，浏览器将永远不会看到任何结束的</script>标记或类似的东西。

我们还需要更改我们的JavaScript以从该元素获取数据。改编自Django文档，最终结果将如下所示:

欢呼!

CSP进阶

更新(2020-02-19): 增加了这一部分，感谢James Bligh和Tom Grainger对我的帮助。

如果你想更安全，你可以更进一步，避免在你的模板中总是使用内联<script>标签。也就是说，将你的JavaScript移到它自己的静态文件mypage.js中:

然后在模板中引用它:

诚然，这只是一个小小的努力。但是它可以阻止问题在你的代码中出现，因为你的JavaScript从不会经过模板。

你也可以通过在你的站点上禁止使用内联脚本来进一步降低XSS风险。你可以通过内容安全策略(CSP)使用script-src命令来实现这一点。有关更多信息，请查看我的文章《如何为你的Django网站的安全头部获得A+评分》。

“escapejs”怎么样?

更新(2020-02-19): 增加这个部分，感谢Ed Rivas在推特上提出的问题。

Django还提供了escapejs模板标记，它看起来似乎是可行的。你可能会尝试像这样来使用它:

不幸的是它并不安全，正如其文档所说:

转义字符用于JavaScript字符串中。这并不能保证在HTML或JavaScript字面量模板中使用字符串也是安全的，但是可以在你使用模板生成JavaScript/JSON时防止语法错误。

它通常也不是很有用，因为它只对字符串有效，而不是字典或列表。

结语

我希望本文有助于你编写更安全的Django应用程序。

感谢所有那些将json_script引入Django 2.1的人:

• 感谢Gavin Wahl在django-argonauts中的初始实现

• 感谢Matthew Schinckel 和Raphaël Hertzo在其他包中的可替代实现

• 感谢Jonas Haag创建了针对Django的PR

• 感谢Aymeric Augustin、Claude Paroz、Florian Apolloner、Markus Holtermann、Nick Pope、Tim Graham和Tom Forbes对这个PR的审查

—Adam

英文原文：https://adamj.eu/tech/2020/02/18/safely-including-data-for-javascript-in-a-django-template/ 
译者：浣熊君( ･᷄৺･᷅ )