XSS с формами MongoDB / Django

Question

Я использую 100% NoSQL-бэкэнд (MongoDB) и разрабатываю с использованием Django. Приложение, которое я создаю, имеет множество различных форм, и по разным причинам я стараюсь избегать использования Django.Forms, потому что они сложны и не кажутся очень гибкими.

Насколько я беспокоюсь о XSS (насколько я могу судить, невозможно использовать SQL-инъекцию при использовании MongoDB)

Поскольку большинство моих форм отправляются через AJAX ... достаточно ли просто использовать токены Django CRSF + lib-файл с открытым исходным кодом для очистки (http://bitkickers.blogspot.com/2011/01/sanitize-html-with-beautiful-soup.html) со всеми входящими данными?

Как лучше всего решить эту проблему, не связанную с использованием cleaned_data с формами Django?

Answer 1

XSS - это уязвимость Javascript, она не связана с SQL-инъекцией. Чтобы предотвратить XSS, вам нужно сделать одну и ту же сенсибилизацию, независимо от того, как хранятся ваши данные.

На основании ее описания достаточно использовать эту библиотеку и токен CSRF.

EDIT

Пока вам не нужно беспокоиться о внедрении SQL с MongoDB. Если вы переключитесь на реляционную базу данных, ваше приложение больше не будет защищено. Дезинфекция против внедрения XSS не обеспечивает защиты от внедрения SQL, чего библиотека, о которой вы упомянули, не будет делать.

Answer 2

На самом деле MongoDB является уязвимым для SQL-внедрения и внедрения NoSQL!

http://leapar.lofter.com/post/122a03_3028b0