1
在我工作的網站上,用戶可能互相發送消息。我希望用戶能夠使用文本樣式標記,例如< b>,< i>和< u>分別使文本變爲粗體,斜體和下劃線。但是,事實上,我不想用這些<腳本>標籤進行XSS處理。或者也許是帶有mouseover屬性的< b>。我想在django中使用文本樣式的標籤,但我不想被XSSed
什麼是最簡單和最安全的方法呢?
我使用django和jQuery,如果重要的話。
A
回答
3
如果你真的想使用HTML標籤,你應該考慮使用Bleach。
>>> evil = "This <script>...</script> is partly <b>evil</b>"
>>> bleach.clean(evil)
u'This <script>...</script> is partly <b>evil</b>'
使用clean您可以明確列出您想要允許的標籤。通過使用strip,您還可以剝離不允許的標籤而不是轉義它們:
>>> evil = "This uses <i>i</i> and <b title='hovertext'>b</b> and <em>em</em>"
>>> bleach.clean(evil, tags=["b"], attributes=dict(), strip=True)
u'This uses i and <b>b</b> and em'
3
不允許標籤。而是使用其中一種標記語言supported by Django,它們首先不允許XSS攻擊。
相關問題
- 1. 想在vb中使用段落,但不想使用標籤
- 2. 我想顯示網格,但不使用標籤時使用AChartEngine
- 3. 我想在標籤在asp.net
- 4. 我想要得到的文本形式H4標籤
- 5. CRTP編譯,但我不想。怎麼樣?
- 6. 如果我想格式化文本但不想使用UIWebView,Core Text是我唯一剩下的選項嗎?
- 7. 我想在C#中獲得App.config文件的不同標籤
- 8. 我想這樣
- 9. 對於相同的標籤,我只想提取我想要的標籤
- 10. 我想把選取框標籤不同的標籤的文本顏色
- 11. 我想更改文本流或標籤中的字體大小
- 12. 我想插入在p標籤文本通過jQuery的
- 13. 我想改變HTML /樣式表文本中的元素圖像
- 14. 需要幫助鏈接標籤,但我想要多個標籤
- 15. 我不想解析某些標籤XML
- 16. 我不想渲染窗體標籤
- 17. 我不想每次都刷新我的標籤片段,雖然我的標籤已被選中
- 18. 我想用模式文件
- 19. GHC不decucing的方式我想它想:-(
- 20. 我想從使用硒python的錨標記中獲取文本我想要打印文本helloworld
- 21. 爲什麼我的JRadioButtons標籤是「...」而不是我想要的文本?
- 22. 在網站中使用腳本python,是我想要的django嗎?
- 23. 我不想將樣式應用到我的按鈕
- 24. 我想在div中使用li標籤,但不建議使用其他方式嗎?
- 25. 我用想div標籤重複NG-repat
- 26. 在花式框中我想在縮略圖下添加標籤
- 27. 我想使用正則表達式提取文本,但它不工作
- 28. 我想用PHP刪除文檔中的一些標籤
- 29. 添加標籤動態地在我的應用我想添加標籤的Android
- 30. 我想在Facebook中刪除我的羣組,但我不能?
謝謝。超級乾淨而智能的解決方案。 –