在 Python 中允许 Markdown，同时防止 XSS 攻击的最佳实践？

Question

我需要让用户将 Markdown 内容输入到我的 Web 应用程序中，该应用程序具有 Python 后端。我不想不必要地限制他们的条目（例如不允许任何 HTML，这违背了 Markdown 的精神和规范），但显然我需要防止跨站脚本（XSS）攻击。

我不可能是第一个遇到这个问题的人，但没有看到任何带有所有关键字“python”、“Markdown”和“XSS”的问题，所以这里是。

使用 Python 库处理 Markdown 和防止 XSS 攻击的最佳实践方法是什么？ （支持 PHP Markdown Extra 语法的奖励积分。）

Answer 1

我无法确定“最佳实践”，但通常在接受 Markdown 输入时您有三种选择：

1. 在 Markdown 内容中允许 HTML（这是 Markdown 最初/官方的工作方式，但如果天真地对待，这可能会引发 XSS 攻击） .

2. 只需将任何 HTML 视为纯文本，本质上是让您的 Markdown 处理器转义用户的输入。因此，输入中的 ... 不会创建小文本，而是创建文字文本“...”。

3. 丢弃 Markdown 中的所有 HTML 标签。这对用户来说非常不利，并且可能会因 <3 等文本而阻塞，具体取决于实现。这是 Stack Overflow 上采用的方法。

我的问题具体涉及案例#1。

鉴于此，对我来说效果很好的是通过

1. Markdown for Python 发送用户输入a>，可选支持额外语法，然后通过
2. < a href="https://github.com/html5lib" rel="noreferrer">html5lib 的清理程序。

我对这个组合进行了一系列 XSS 攻击尝试，但都失败了（万岁！）；但使用像 这样的良性标签可以完美地工作。

这样，您实际上可以使用选项 #1（根据需要），但潜在危险或格式错误的 HTML 片段除外，这些片段将按选项 #2 进行处理。

（感谢 YH Wong 为我指明了 Markdown 库的方向！）

Answer 2

Python 中的 Markdown 可能就是您正在寻找的。它似乎也涵盖了您请求的许多扩展。

为了防止 XSS 攻击，首选的方法与其他语言完全相同 - 在渲染回来时转义用户输出。我刚刚浏览了 文档 和 源代码。 Markdown 似乎能够通过一些简单的配置调整来开箱即用。