我想让用户留下富文本评论,可能使用降价。我已经安装了Reddit上使用的库,但是担心去年发生的JavaScript注入攻击,尤其是因为我仍然不清楚攻击是如何完成的。我还应该关注评论安全吗?有没有一个测试字符串,我可以通过我的系统来检查相同的缺陷,记下了reddit?安全的Python降价库
8
A
回答
4
Python-Markdown - “标准”一个或多或少的 - 有一个“安全模式”功能,逃脱的HTML标签。这应该足以应对大多数HTML注入攻击。
4
reddit的使用现在discount markdown library。
2
其他的答案提到的Python降价的安全模式,但现在已被弃用。 Python的降价的作者已经被引述的说法:
“安全模式”是一个可怜的名字的选择,我们继续使用落后 可比性(旧代码仍然与我们的新版本)。它真的 是一个无标记模式。换句话说,这只是一种禁止原始html的方法,并且不能保证安全。
他们现在建议使用HTML消毒剂像Bleach消毒降价输出。 mdx_bleach是一个Python-Markdown扩展,可以做到这一点。免责声明:我是这个扩展的作者。
因为它使用html5lib解析文档片段以同样的方式做浏览器,漂白剂是非常抵御未知的攻击,远远超过了基于正则表达式的消毒剂。
相关问题
- 1. Django XSS安全降价
- 2. Python的 - 如何从降价库
- 3. 降低python降价能力
- 4. web.py降价全局名称“降价”是没有定义
- 5. 生成与Python降价库的头固定链接
- 6. Python的降价添加类表
- 7. 的降价
- 8. 如何创建使用python-降价
- 9. Python降价不尊重缩进
- 10. 在Android Studio中使用Bypass降价库
- 11. 在降价
- 12. 延长降价?
- 13. 使用降价
- 14. 降价或HTML
- 15. Python的SHA512安全
- 16. python +安全
- 17. Python smtplib安全
- 18. 降价,使降价的处理块水平的html内从
- 19. 数据库'价值'的本地副本和安全问题
- 20. 在线安全和存储货币价值的数据库
- 21. SQL - 安全地将BIGINT降为INT
- 22. 安全库
- 23. 好安全库
- 24. 从降价文件
- 25. SmartyPants降价计划
- 26. 在降价细胞
- 27. 降价报告Rstudio
- 28. SVG降价模拟
- 29. GCM降价消息
- 30. 降价表排长
我在纯Python环境(谷歌应用程序引擎)工作,所以我不认为我可以用一个C库。我正在研究上面提到的图书馆清道夫,并且还查看了来自reddit的filters.py和markdown.py代码。这个免费的智库图书馆可能会被放到另一个项目中,而显然你希望reddit代码能够在reddit中工作,这样我就可以使用自由智慧代码。另一方面,我很好奇你为什么需要编写自己的过滤代码 - 我应该注意到公共可用库中是否存在漏洞? – MichaelBlume 2010-03-16 18:38:45