当允许用户输入 markdown 内容时,如何防止跨域脚本攻击? Python 有没有相关的处理模块?

2016-11-21 23:01:49 +08:00
 zmrenwu

比如 V2EX ,允许用户通过 markdown 格式发帖。现在我想做的是:

转义用户输入的纯 html , js 代码。

代码块中的 html , js 代码不被转义。

一些 mardown 和 html 共同的标签不被转义。

仔细思考发现这是一个挺麻烦的事情,需要考虑的情况比较多。

有没有完善的第三方 python 模块已经做了这个事了?

1997 次点击
所在节点    Python
4 条回复
Ellen
2016-11-22 11:05:02 +08:00
项目里面使用的 js 编辑器 editor-md
zmrenwu
2016-11-22 12:42:58 +08:00
@Ellen 但这只是编辑器吧?对用户输入的内容做处理了么?
rogwan
2016-11-22 22:54:29 +08:00
可以在转义的时候,自定义过滤器,用过 flask Bleach ,然后根据自己的需要修改。
zmrenwu
2016-11-24 09:22:37 +08:00
@rogwan 自己写过滤挺复杂的,希望能有一个现成的框架。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/322211

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX