我正在开发一个用户上传空格/制表符/逗号分隔的文本文件的 Django 应用程序。我在浏览器中显示文本,然后用户可以交互地解析分隔值列,这些列在更改设置时会用 css 突出显示。(只显示一个样本而不是整个文件!)
为了突出显示选择,我在文本中和文本周围插入 html/css 代码,但必须“标记安全”文本以使 html/css 呈现。我认为这会引发安全问题,因为即使是我,一个完整的菜鸟也可以在我的输入文件中插入 html 并让它呈现。
我的问题:在我上传后和在浏览器中呈现它之前,我可以使用什么东西来立即从文本文件中删除 html 吗?剥离'<'和'>'就足够了吗?如果需要禁用 .js 怎么办?
我了解关于文件上传,我可以采取其他有据可查的安全措施。但是,我正在解决与我“marking_safe”相关的具体问题,然后将输入文本呈现给浏览器。