SW ENGINEERING/Flask
XSS
XSS : Cross-site Scripting 웹에 자바스크립트 삽입 방법을 의미 router에서 @bp.route("/xss", methods=['GET']) def xss(): xss_stirng = "" return render_template('xss.html', name = xss_stirng) xss.html에서 {{name}} url/xss를 입력하면 다음과 같이 출력이 되면 XSS를 방지한 것이다. 그 이유는 flask에서 해당 객체를 {{name}} 으로 가져오는데 이 때 전달되는 {{name}}이 string 이기 때문에 동작을 하지 않게 된다. 만약 스크립팅 동작을 원하면 어떻게 할 것인가? {{name | safe}} 를 입력해주면 된다. 그럼 다음과 같이 동작이 되는 것을 알 수..
2021. 2. 25. 16:41
최근댓글