2

我正在使用jinja2安全地呈现来自网络联系表单的电子邮件模板。问题是字符 &、<、>、' 和 " 被转换为 HTML 安全序列。所以

这就是所有的人!

变成

That&#39;s all folks!

我想删除任何 HTML 标签以防止没有任何字符编码的XSS 。这在jinja2中可能吗?

注意:striptags实用程序还可以转换字符。

4

1 回答 1

3

我不认为这是可能的。您将如何处理诸如That's only true when x<y and x>0. <和之间>的部分是消息的一部分,但可以被解释为(无聊的)HTML 标记。

That&#39;s all folks!由浏览器通过解码字符来正确读取和显示它。

于 2012-11-22T04:01:27.083 回答