求 Python 下好用的 HTMLPurifier

2015-09-07 18:25:06 +08:00
 tabris17
在 pypi 上找到两个,一个是基于 PHP 版的 HTMLPurifier , Python 通过命令行来调用 PHP ,获取结果。这个太扯了。

另外一个是基于 HTMLParser 做的,但是很多地方都过滤不完全,特别是 URL 都不过滤。注入下列 XSS 都过滤不了:

<a href="javascript:alert ('XSS')">
<img src="javascript:alert ('XSS')">
<input type="image" src="javascript:alert ('XSS');">
<body background="javascript:alert ('XSS')">
<bgsound src="javascript:alert ('XSS');">
<link rel="stylesheet" href="javascript:alert ('XSS');">
<div style="background-image:url ('javascript:alert ()');width:expression (alert ());">

更过分的是竟然不处理转义字符,比如:
<a href="sda&#34;onclick=&#34;alert ()">sadsad</a>
会被转成
<a href="sda" onclick="alert ()">sadsad</a>
1641 次点击
所在节点    问与答
3 条回复
tabris17
2015-09-07 18:35:46 +08:00
这是被降权了么,新发的贴都是日期都是一天前
fournoas
2015-09-09 09:35:28 +08:00
为啥要搞个发贴降权呢,还不如直接禁言算了
Livid
2015-09-13 20:01:10 +08:00
@fournoas 你的主账号 @tabris17 的权重已经恢复。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/218921

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX