1

我听说过 filter |safe,但如果我理解正确的话,那是不安全的,并且会为注射创造一个后门。

显示带有格式化文本的完整帖子的替代方法是什么?

4

1 回答 1

1

我认为当您不使用 的过滤器时|safe,输出应仅以带有 html 标记的文本返回(不呈现为 html 输出)

但是,如果您需要排除一些危险的标签,例如<script>location.reload()</script>,您需要使用自定义模板标签过滤器来处理它。

我得到了很好的答案:https ://stackoverflow.com/a/699483/6396981 ,通过BeautifulSoup

from bs4 import BeautifulSoup
from django import template
from django.utils.html import escape

register = template.Library()
INVALID_TAGS = ['script',]

def clean_html(value):
    soup = BeautifulSoup(value)
    for tag in soup.findAll(True):
        if tag.name in INVALID_TAGS:
            # tag.hidden = True # you also can use this.
            tag.replaceWith(escape(tag))
    return soup.renderContents()

# clean_html('<h1>This is heading</h1> and this one is xss injection <script>location.reload()</script>')
# output:
# <html><body><h1>This is heading</h1> and this one is xss injection &lt;script&gt;location.reload()&lt;/script&gt;</body></html>

@register.filter
def safe_exclude(text):
    # eg: {{ post.description|safe_exclude|safe }}
    return clean_html(text)

希望有用。。

于 2017-01-03T00:21:33.557 回答