9.4. 跨站点脚本(XSS)
OpenStack 控制面板接受大多数字段中设置的整个 Unicode 字符。恶意的参与者可能会尝试使用这个可扩展性来测试跨站点脚本(XSS)漏洞。OpenStack Dashboard 服务(horizon)具有针对 XSS vulnerabilites 强化的工具。确保在自定义仪表板中正确使用这些工具非常重要。当您对自定义仪表板执行审计时,请注意以下几点:
-
mark_safe
功能。 -
is_safe
- 与自定义模板标签一起使用。 -
safe
模板标签。 - 任何自动转义都会关闭,以及可能会评估不正确的数据的 JavaScript。