鼓励用户升级到最新版本的Bleach
Mozilla修补了跨站脚本(XSS)Bleach中的错误,这是一个python库,使开发人员能够清洁数据并防止XSS攻击。在Github上发布的咨询。
Mozilla Bleach是使Python Web开发人员能够清洁输入数据并逃脱或删除可能导致任意代码执行的零件的几个库之一beplay体育能用吗。它在Python的Web开发平台Django的用户中尤其受欢迎。beplay体育能用吗
发现的脆弱性是在漂白剂中干净的()功能,将HTML代码的片段作为输入,并消毒了不允许的标签和属性。
很难权衡错误的影响,但GitHub列出的超过61,000个存储库取决于漂白剂。
图书馆的用户包括EDX,Fedora,Microsoft,Python Software Foundation和美国的数字服务机构18F。
没有证据表明野外利用了这种脆弱性,而莫齐拉(Mozilla)报告说,莫齐拉(Mozilla每日swbeplay2018官网ig。
另外,只有特殊的参数配置才能将呼叫暴露于干净的()XSS攻击功能。
O’Kelly说:“脆弱性在于图书馆的非标准使用,因此虽然不一定很难,但这应该是不寻常的。”
突变XS
该错误是一种特殊的XSS漏洞称为“突变XSS”,这是由浏览器解释HTML代码的差异引起的。
但是,O’Kelly警告说:“漏洞不是浏览器特定的或利用任何浏览器弱点,因此如果不缓解控件,大多数浏览器都会执行XSS。”
O’Kelly还建议网站部署beplay体育能用吗内容安全策略深入防御。
该漏洞是在Bleach v3.1.1中发现的,但更早的版本也可能受到影响根据Mozilla的说法。鼓励所有用户升级到3.1.2或更高版本。
实际上,当您使用它时,您不妨升级到3月24日发布的v3.1.4。新版本解决了另一个将应用程序暴露于正则表达拒绝服务(重做)攻击。
REDOS攻击利用了正则表达式缓慢处理,使Web服务器停止爬行。beplay体育能用吗
