替换python的csv库以减轻csv注入攻击
defusedcsv的Python项目详细描述
如果python应用程序提供用户生成数据的csv导出,则该用户生成的数据可能包含恶意 可能触发下载文件的用户(即MS)的电子表格软件中的漏洞的有效负载 excel或libreoffice)。
这个库试图通过在所有以@,+开头的单元格前加上前缀来减轻这种情况, -,=,|或%用撇号'替换 |个字符与\|在这些单元格中。这当然会改变结果 csv文件,但excel不会向用户显示'字符。
使用Python3.4到3.6进行测试。
用法
这个库充当标准库的csv模块的替换项。你可以用它来代替 import csv与代码中的from defusedcsv import csv一起。
有用链接
许可证
此存储库中的代码是根据apache许可证的条款发布的。 有关完整的许可文本,请参见许可文件。
此项目由Raphael Michel<;mail@raphaelmichel.de>;维护。见 作者们提交了一份清单,列出了所有为这个项目做出贡献的杰出人士。