堆栈内存溢出
  繁体   English   中英

不转换字符的转义标签

[英]Escape tags without converting characters

 原文  2012-11-22 03:53:00       python/ html/ email/ jinja2

问题描述

我正在使用jinja2来安全地呈现来自 Web 联系表单的电子邮件消息模板。 问题是字符 &、<、>、' 和 " 被转换为 HTML 安全序列。所以

这就是所有的人!

变成

That&#39;s all folks!

我想删除任何 HTML 标签以防止没有任何字符编码的XSS 这在jinja2中可能吗?

注意:striptags实用程序也会转换字符。

1 个解决方案

解决方案1
 3 已采纳  2012-11-22 04:01:27

我不认为那是可能的。 您将如何处理诸如That's only true when x<y and x>0 <>之间的部分是消息的一部分,但可以解释为(borked)HTML 标记。

由浏览器来阅读That&#39;s all folks! 并通过解码字符正确显示它。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 将字符转换为其python转义序列 如何在不推荐使用的 python fstrings 中使用转义字符,而不转换为原始字符串 Python - 将带有转义字符的字符串转换为json 使用Python在句子中转换Java转义字符和表情符号 带单引号且没有转义字符的 JSON 对象 打印不带转义字符的Unicode字符列表 将字符串转换为元组而不拆分字符 如何在不使用反斜杠的情况下转义Python Regex特殊字符 R系统调用返回没有转义符的stdin 在不杀死Unicode的情况下,在Python 2中编码转义字符的正确方法是什么?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM