用于渲染 html 子集的 Django templatetag

Question

我有一些 html（在本例中是通过 TinyMCE 创建的），我想将其添加到页面中。但是，出于安全原因，我不想只打印用户输入的所有内容。

有谁知道模板标签（最好是过滤器）只允许渲染 html 的安全子集？

我意识到 Markdown 和其他人就是这么做的。但是，他们还添加了额外的标记语法，这可能会让我的用户感到困惑，因为他们使用的是不了解 Markdown 的富文本编辑器。

Answer 1

有 removetags，但这是一种黑名单方法，无法当标签看起来与 Django 期望的格式良好的标签不完全一样时，删除标签，当然，由于它不尝试删除属性，因此完全容易受到 1,000 种不涉及 < 的其他脚本注入方式的攻击code>

基于正则表达式黑客的 HTML 清理方法几乎不可避免地会彻底失败。使用真正的 HTML 解析器获取提交内容的对象模型，然后以已知良好的格式进行过滤和重新序列化，通常是最可靠的方法。

如果您的富文本编辑器输出 XHTML，那么很简单，只需使用 minidom 或 etree 来解析文档，然后遍历它，删除除已知良好的元素和属性之外的所有元素，最后转换回安全的 XML。另一方面，如果它输出 HTML，或者允许用户输入原始 HTML，您可能需要在其上使用 BeautifulSoup 之类的东西。请参阅此问题进行一些讨论。

过滤 HTML 是一个庞大而复杂的主题，这就是为什么许多人更喜欢带有限制性标记的文本语言。

Answer 2

使用 HTML Purifier、html5lib 或其他为进行 HTML 清理而构建的库。

Answer 3

您可以使用 removetags 指定要删除的标签列表：

{{ data|removetags:"script" }}