【发布时间】:2019-10-02 20:46:26
【问题描述】:
我尝试过使用 clean = message.replace('\n', '').replace('\r', '')。 但它仍然无法通过验证码扫描。 有没有更好的方法呢? 我还阅读了有关 ESAPI Python 的信息,但没有得到任何好的文档来解决这个问题。
【问题讨论】:
我尝试过使用 clean = message.replace('\n', '').replace('\r', '')。 但它仍然无法通过验证码扫描。 有没有更好的方法呢? 我还阅读了有关 ESAPI Python 的信息,但没有得到任何好的文档来解决这个问题。
【问题讨论】:
不幸的是,ESAPI Python 是一个长期死掉的项目。我没有任何 Python 替代品,但该库自 August 9, 2010. 以来没有提交过
我不熟悉 Python Web 框架,但我确实定期教授有关安全编程的知识。
每次调用函数时,都需要问自己一个问题:
“我是否将其传递给口译员?”
如果答案是“是”,那么您需要进行编码以确保该函数将输入纯粹视为数据而不是可执行代码。
在这种特殊情况下,如果您的日志记录有可能被浏览器解释(这很常见),您还需要为 HTML 进行编码。但是,如果您的环境从不使用基于 html 的日志记录并且始终是原始文本,则这可能会被视为“缓解”或“误报”,具体取决于您的公司如何同意这些条款。
另外,我喜欢用唯一的分隔符包装任何用户输入的做法。您可以使用方括号,但我喜欢日志中强烈的视觉提示。
图片:[USERACTION] + userId + '►' + encode(userInput) + '◀'
甚至:
[USERACTION] + userId + ' ( ͡ʘ ͜ʖ ͡ʘ)' + 编码(userInput) + '<:::::>
任何有助于表明有人篡改了您的日志的东西都是好的。声音越大越好!
【讨论】: