Python和Django。從html中刪除所有js

我想顯示用戶輸入的html（來自所見即所得）。Python和Django。從html中刪除所有js

但我有一些從HTML中刪除js的問題。

這是我的觀點：

def bad_view(request): 
    # in real project we got it from user 
    bad_html = '<p onclick="alert(0)">:((</p><script>alert(0);</script>' 
    return render(request, 'template.html', {'bad_html': bad_html})

下面的代碼在我的模板：

{{ bad_html|safe }}

bad_html應該是這樣的<p onclick="">:((</p>

什麼是最好方法，從刪除所有的JS這個HTML？

對於刪除<script>我可以使用正則表達式，但onclick處理程序（和其他js處理程序）呢？

感謝您的建議！

來源

2013-04-25 Tom

你切不可想想**去掉**。你必須考慮**允許**。它更安全。 – antoyo 2013-04-25 16:26:00

搜索「python html sanitizer」，選擇你最喜歡的一個。但是Antoyo是對的。積極地允許儘可能少的人力。（如在白名單中的個人屬性級別及其值） – millimoose 2013-04-25 16:48:10

更改此： bad_html ='

：（（

':) :) – 2013-04-25 21:25:41

我建議用漂白劑Python庫，它的目的是處理各種特殊情況，是一個完整的解決方案爲您的問題

http://bleach.readthedocs.org/en/latest/index.html

來源

2013-04-25 17:27:27 armonge

謝謝！你真的幫我 – Tom 2013-05-02 12:10:10

我可以爲django建議一個預先構建的解決方案https://www.djangopackages.com/grids/g/forms/ 大多數都包含某些形式的過濾器示例。我實際上正在自己研究TinyMCE。

的更多信息請點擊這裏Using safe filter in Django for rich text fields

來源

2013-04-25 16:45:21 Vangel

Python和Django。從html中刪除所有js

回答

相關問題