Django:允许安全的 html 标签

发布于 2024-11-06 10:12:32 字数 254 浏览 2 评论 0原文

我正在研究各种框架和 CMS 的 XSS,以及它们是否提供了防御方法(而不仅仅是以编程方式避免这种情况)。

我知道在 Django 模板语言中,您可以将变量指定为 |safe 我希望能够允许真正安全的 html 标签,以便用户可以格式化文本(诸如等简单的东西),但要去掉这些东西as 、 onload 属性等。

我想知道 Django 是否推荐一种方法来执行此操作,而不仅仅是使用 Python。我希望这是有道理的

杰森

Im looking into XSS with various frameworks and CMS and whether they provide methods in protecting against it (not just programmaticly avoiding the situation).

I know that in Djangos templating language you can specify a variable as |safe I want to be able to allow actually safe html tags so the user can format text (simple things like etc), but strip such things as , onload attributes etc.

I would like to know whether Django recommends a method in doing this, not just using Python. I hope this makes sense

Jason

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

终陌 2024-11-13 10:12:32

Django 的核心概念之一是它是 Python,任何 Python 库都应该可以与 Django 一起使用。除非有充分的理由,否则他们不会重新造轮子。我相信 HTML 清理/清理是他们决定不重新创建的事情之一。

BeautifulSoup 是您想要进行清理/清理的 python 库。

One of the core concepts of Django is that it's Python, and any Python lib should be usable with Django. They won't recreate the wheel unless there is good reason to. I believe HTML scrubbing/sanitizing is one of the things they've decided not to recreate.

BeautifulSoup is the python library you want to look into for any scrubbing/sanitizing though.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文