1
在我工作的网站上,用户可能互相发送消息。我希望用户能够使用文本样式标记,例如< b>,< i>和< u>分别使文本变为粗体,斜体和下划线。但是,事实上,我不想用这些<脚本>标签进行XSS处理。或者也许是带有mouseover属性的< b>。我想在django中使用文本样式的标签,但我不想被XSSed
什么是最简单和最安全的方法呢?
我使用django和jQuery,如果重要的话。
A
回答
3
如果你真的想使用HTML标签,你应该考虑使用Bleach。
>>> evil = "This <script>...</script> is partly <b>evil</b>"
>>> bleach.clean(evil)
u'This <script>...</script> is partly <b>evil</b>'
使用clean您可以明确列出您想要允许的标签。通过使用strip,您还可以剥离不允许的标签而不是转义它们:
>>> evil = "This uses <i>i</i> and <b title='hovertext'>b</b> and <em>em</em>"
>>> bleach.clean(evil, tags=["b"], attributes=dict(), strip=True)
u'This uses i and <b>b</b> and em'
3
不允许标签。而是使用其中一种标记语言supported by Django,它们首先不允许XSS攻击。
相关问题
- 1. 想在vb中使用段落,但不想使用标签
- 2. 我想显示网格,但不使用标签时使用AChartEngine
- 3. 我想在标签在asp.net
- 4. 我想要得到的文本形式H4标签
- 5. CRTP编译,但我不想。怎么样?
- 6. 如果我想格式化文本但不想使用UIWebView,Core Text是我唯一剩下的选项吗?
- 7. 我想在C#中获得App.config文件的不同标签
- 8. 我想这样
- 9. 对于相同的标签,我只想提取我想要的标签
- 10. 我想把选取框标签不同的标签的文本颜色
- 11. 我想更改文本流或标签中的字体大小
- 12. 我想插入在p标签文本通过jQuery的
- 13. 我想改变HTML /样式表文本中的元素图像
- 14. 需要帮助链接标签,但我想要多个标签
- 15. 我不想解析某些标签XML
- 16. 我不想渲染窗体标签
- 17. 我不想每次都刷新我的标签片段,虽然我的标签已被选中
- 18. 我想用模式文件
- 19. GHC不decucing的方式我想它想:-(
- 20. 我想从使用硒python的锚标记中获取文本我想要打印文本helloworld
- 21. 为什么我的JRadioButtons标签是“...”而不是我想要的文本?
- 22. 在网站中使用脚本python,是我想要的django吗?
- 23. 我不想将样式应用到我的按钮
- 24. 我想在div中使用li标签,但不建议使用其他方式吗?
- 25. 我用想div标签重复NG-repat
- 26. 在花式框中我想在缩略图下添加标签
- 27. 我想使用正则表达式提取文本,但它不工作
- 28. 我想用PHP删除文档中的一些标签
- 29. 添加标签动态地在我的应用我想添加标签的Android
- 30. 我想在Facebook中删除我的群组,但我不能?
谢谢。超级干净而智能的解决方案。 –