问问题
658 次
1 回答
0
在将输入传递给 Markdown 之前不要转义输入。如您所见,这在某些情况下会破坏用户输入。而且,它不能确保安全性:考虑例如“ [clickme](javascript:alert%28%22xss%22%29)”。
相反,正确的方法是在安全模式下使用 Markdown。我已经在其他地方写过如何做到这一点,但 Django 中的简短版本是使用类似{{ text | markdown:"safe" }}. (或者,您可以将 HTML 净化器(如 HTML Purifier)应用于 Markdown 处理器的输出。)
于 2012-05-07T03:09:32.593 回答