是否可以编写易受 XSS 攻击的 Flask Web 应用程序？

如何解决是否可以编写易受 XSS 攻击的 Flask Web 应用程序？

我正在尝试编写一个存储的 xss 易受攻击的 Flask Web 应用程序。我的应用程序通过此输入字段 <input type="text" name="content" id="content" /> 接收输入，然后将用户输入显示到 HTML 表中。 我试图在输入字段中插入一个像 <script>alert(1)</script> 这样的脚本，但是当它显示时，脚本没有被触发。
这是我的代码：
app.py

from flask import Flask,render_template,request,redirect
from flask_sqlalchemy import SQLAlchemy
from datetime import datetime


app = Flask(__name__)
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///test.db'
db = SQLAlchemy(app)

class Todo(db.Model):
  id = db.Column(db.Integer,primary_key=True)
  content = db.Column(db.String(200),nullable=False)
  date_created = db.Column(db.DateTime,default=datetime.utcnow)

  def __repr__(self):
    return '<Task %r>' % self.id

@app.route('/',methods = ['POST','GET'])
def index():
  if request.method == 'POST':
    task_content = request.form['content']
    new_task = Todo(content=task_content)
    try:
      db.session.add(new_task)
      db.session.commit()
      return redirect('/')
    except:
      return "There was an issue adding your task"
  else:
    tasks = Todo.query.order_by(Todo.date_created).all()
    return render_template("index.html",tasks=tasks)

if __name__ == "__main__":
  app.run(debug=True)

index.html

{% extends 'base.html' %} 
{% block head %}
<title>Task Master</title>
{% endblock %}
{% block body %}
<div class="content">
  <h1 style="text-align: center">Task Master</h1>
  {% if tasks|length < 1 %}
  <h4 style="text-align: center">There are no tasks. Create one below!</h4>
  {% else %}
  <table>
    <tr>
      <th>Task</th>
      <th>Added</th>
      <th>Actions</th>
    </tr>
    {% for task in tasks %}
    <tr>
      <td>{{ task.content }}</td>
      <td>{{ task.date_created.date() }}</td>
      <td>
        <a href="/delete/{{task.id}}">Delete</a>
        <br />
        <a href="/update/{{task.id}}">Update</a>
      </td>
    </tr>
    {% endfor %}
  </table>
  {% endif %}

  <div class="form">
    <form action="/" method="POST">
      <input type="text" name="content" id="content" />
      <input type="submit" value="Add Task" />
    </form>
  </div>
</div>
{% endblock %}

base.html

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" >
    <meta http-equiv="X-UA-Compatible" content="IE=edge" >
    <meta name="viewport" content="width=device-width,initial-scale=1.0" >
    <link
      rel="stylesheet"
      href="{{ url_for('static',filename='css/main.css') }}"
    >
    {% block head %}{% endblock %}
  </head>
  <body>
    {% block body %}{% endblock %}
  </body>
</html>

我遵循 this 示例。
这是表单的屏幕：
(https://i.stack.imgur.com/870tY.png)
这是脚本提交后的 HTML 屏幕：
(https://i.stack.imgur.com/U1Jdd.png)

加载页面时如何使脚本可执行？

解决方法

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。