[英]How can we prevent html injection in FastAPI?
我們正在使用名為 FastAPI 的 python 框架開發 REST API。 html 注入代碼安全測試失敗。 他們在 post payload 中發送一些 html 標簽代碼,我們將其插入數據庫並在 GET 響應中發送相同的代碼。 在 FastAPI 中處理請求時,有什么方法可以防止這種 HTML 注入。
是的。 如果您不明確說明,任何框架都不會神奇地改變您獲得的內容。 (想象一下,如果它是一個 REST API,用於記錄來自內部系統的 HTML 片段,用於在另一個端點呈現 web 頁面:你需要按原樣使用 HTML)
這只是在將輸入數據放入數據庫之前調用轉義 function 的問題。
Python 的標准庫html.escape function 在這種情況下就足夠了。
您的問題中沒有代碼,而且我根本不了解 FASTAPI - 但是如果它在不經過您編寫的任何代碼的情況下將有效負載放入數據庫中,那么您應該自定義它並放入此調用以預處理您的數據,或添加將為您執行此操作的觸發階段(即事件訂閱者)。
如何在沒有 html/js 的情況下捕獲 fastapi websocket 消息?
[英]How can I capture fastapi websocket messages without html/js?
如何使用 Fastapi 創建一個 session,這樣當用戶登錄時,我們可以將它的 ID 用於多種用途。 我的意思是我們只能從 session 獲取 id
[英]How to create a session using Fastapi so when a user login we can use it's id for multipurpose. I mean we can fetch id from session only
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
