一、什么是XSS***

XSS即跨站脚本***,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 xss***允许用户注入客户端脚本到其他用户的服务器上。通常通过存储恶意脚本到数据库,其他用户通过数据库获取恶意脚本,并在浏览器上呈现;或是使用户点击会引起***者javascirpt脚本在用户客户端的连接来达到目的。但是xss***可能发生在任意不可信的数据源头,例如cookie和web service。无论何时,只要数据在页面内没有充分地消毒(sanitized),就可能发生xss***。

二、防止XSS***的两种方式

1、对单一变量进行转义过滤。可以使用escape过滤器,无需转义时使用safe过滤器

 PS: 把用户输入的数据以安全的形式显示,那只能是在页面上显示字符串。
    django框架中给数据标记安全方式显示(但这种操作是不安全的!):
      - 模版页面上对拿到的数据后写上safe. ----> {{XXXX|safe}}
      - 在后台导入模块:from django.utils.safestring import mark_safe
        把要传给页面的字符串做安全处理 ----> s = mark_safe(s)

好的文章:https://www.cnblogs.com/zh605929205/articles/7103796.html