Django：允许安全的 html 标签

Question

我正在研究各种框架和 CMS 的 XSS，以及它们是否提供了防御方法（而不仅仅是以编程方式避免这种情况）。

我知道在 Django 模板语言中，您可以将变量指定为 |safe 我希望能够允许真正安全的 html 标签，以便用户可以格式化文本（诸如等简单的东西），但要去掉这些东西as 、 onload 属性等。

我想知道 Django 是否推荐一种方法来执行此操作，而不仅仅是使用 Python。我希望这是有道理的

杰森

Answer 1

Django 的核心概念之一是它是 Python，任何 Python 库都应该可以与 Django 一起使用。除非有充分的理由，否则他们不会重新造轮子。我相信 HTML 清理/清理是他们决定不重新创建的事情之一。

BeautifulSoup 是您想要进行清理/清理的 python 库。