day2-web安全漏洞攻防-基础-弱口令、HTML注入（米斯特web渗透测试）

对于弱口令攻击，可以通过以下方式进行防御：

1. 增加密码复杂度：要求用户设置的密码包含大小写字母、数字和特殊字符的组合，并且长度足够长。
2. 密码哈希存储：使用密码哈希函数（如SHA-256）来储存密码，避免明文存储。
3. 账号锁定策略：当检测到多次失败的尝试后，可以暂时禁止用户登录，并可以要求用户回答安全问题以重置密码。

对于HTML注入攻击，可以通过以下方式进行防御：

1. 输入验证：对用户的输入进行验证，确保输入的内容只包含合法的HTML标签。
2. 清理输入：对用户的输入进行清理，去除或编码非法的HTML标签和属性。
3. 使用富文本编辑器：使用可信的富文本编辑器来处理用户的输入，它们通常具有防止HTML注入的特性。

以下是一个简单的输入清理函数示例（仅Python代码，不包含完整的安全防护）：

from html import escape
 
def sanitize_input(input_data):
    return escape(input_data)
 
# 使用方法
user_input = "<script>alert('XSS');</script>这是正常文本"
clean_input = sanitize_input(user_input)
# 输出将是：&lt;script&gt;alert('XSS');&lt;/script&gt;这是正常文本

在实际应用中，防护措施还包括使用内容安全策略(CSP)、XSS过滤器、ASP.NET Identity等，并且还需要定期更新安全措施以应对新的攻击技术。