[英]How can we prevent html injection in FastAPI?
我们正在使用名为 FastAPI 的 python 框架开发 REST API。 html 注入代码安全测试失败。 他们在 post payload 中发送一些 html 标签代码,我们将其插入数据库并在 GET 响应中发送相同的代码。 在 FastAPI 中处理请求时,有什么方法可以防止这种 HTML 注入。
是的。 如果您不明确说明,任何框架都不会神奇地改变您获得的内容。 (想象一下,如果它是一个 REST API,用于记录来自内部系统的 HTML 片段,用于在另一个端点呈现 web 页面:你需要按原样使用 HTML)
这只是在将输入数据放入数据库之前调用转义 function 的问题。
Python 的标准库html.escape function 在这种情况下就足够了。
您的问题中没有代码,而且我根本不了解 FASTAPI - 但是如果它在不经过您编写的任何代码的情况下将有效负载放入数据库中,那么您应该自定义它并放入此调用以预处理您的数据,或添加将为您执行此操作的触发阶段(即事件订阅者)。
如何在没有 html/js 的情况下捕获 fastapi websocket 消息?
[英]How can I capture fastapi websocket messages without html/js?
如何使用 Fastapi 创建一个 session,这样当用户登录时,我们可以将它的 ID 用于多种用途。 我的意思是我们只能从 session 获取 id
[英]How to create a session using Fastapi so when a user login we can use it's id for multipurpose. I mean we can fetch id from session only
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
