1

我使用编辑器 Quill 在 Django 中接收数据,数据格式为 HTML。

当我推入数据库以及检索返回 html 时,是否可以对数据进行编码/清理?如果是怎么办?

我也只使用段落、列表和
(这是由编辑器传递的),但我想检查用户是否没有在代码中添加任何其他内容。

例如:

我从编辑那里得到:

<li>fdsafdsafdsa</li><li>fdsafdafsdafds</li>

在我想另存为的数据库中(现在我另存为 html):

&lt;li&gt;fdsafdsa&lt;/li&gt;&lt;li&gt;fdsafdsa&lt;/li

当我推回页面时,我会返回:

<li>fdsafdsafdsa</li><li>fdsafdafsdafds</li>
4

2 回答 2

2

您可以将 html 保存在数据库中的文本字段中。

class UserGeneratedHtml(models.Model)
    html = models.TextField()

然后在保存此数据之前确保它实际上是有效的 html。您可以使用 BeautifulSoup 之类的 html 解析器来执行此操作:

from bs4 import BeautifulSoup
html = """<html>
<head><title>I'm title</title></head>
</html>"""
non_html = "This is not an html"
bool(BeautifulSoup(html, "html.parser").find())
True
bool(BeautifulSoup(non_html, "html.parser").find())
False

此代码片段检查字符串中是否有任何 html 元素。上面snipplet的相关答案

当然,保存和提供用户生成的 html 总是很棘手并且可能很危险,因此您应该始终确保 html 不包含可能有危险的内容。您可以使用 BeautifulSoup 来解析生成的 html,如果它包含除段落和列表以外的任何内容,则拒绝它。

如果您想在模板中呈现用户生成的 html,您可以像这样简单地呈现它:

{{ html |safe }}
于 2019-02-01T11:26:05.440 回答
1

我最终决定像这样使用 Mozilla 的漂白剂包:

value = bleach.clean(value, tags=['p', 'ul', 'ol', 'li', 'br'])
于 2019-03-18T15:54:42.737 回答