安全的 Python Markdown 库

Question

Closed. This question needs details or clarity. It is not currently accepting answers.

---

想要改进这个问题？通过编辑这篇文章添加详细信息并澄清问题。

9 年前已关闭。

Answer 1

reddit 现在使用折扣降价库。

Answer 2

Python-Markdown - 或多或少的“标准” - 有一个“安全” mode' 功能可转义 html 标签。这应该足以对抗大多数 HTML 注入攻击。

Answer 3

其他答案提到了 Python-Markdown 的安全模式，但现已弃用。 Python-Markdown 的作者曾被引用说：

“安全模式”是一个糟糕的名称选择，我们继续使用它来向后进行
可比性（旧代码仍然适用于我们的新版本）。到底是什么
这是一种无标记模式。换句话说，这只是禁止原始 html 的一种方法
而且确实不能保证安全。

他们现在建议使用 HTML 清理程序（如 Bleach）来清理 Markdown 输出。 mdx_bleach 是一个 Python-Markdown 扩展，它可以做到这一点。免责声明：我是此扩展的作者。

由于 Bleach 与浏览器一样使用 html5lib 来解析文档片段，因此对未知攻击具有极强的弹性，比基于正则表达式的清理程序要强得多。